https://blog.qife122.com/tags/cwe-1385/ Recent content in CWE-1385 on 办公AI智能小助手 Hugo zh-cn qife Sun, 11 Jan 2026 12:30:47 +0800 https://blog.qife122.com/p/mailpit-websocket-%E9%AA%8C%E8%AF%81%E7%BC%BA%E5%A4%B1%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90-cve-2026-22689/ Sun, 11 Jan 2026 12:30:47 +0800 https://blog.qife122.com/p/mailpit-websocket-%E9%AA%8C%E8%AF%81%E7%BC%BA%E5%A4%B1%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90-cve-2026-22689/ <h1 id="cve-2026-22689-cwe-1385-axllent-mailpit-中-websocket-缺少来源验证">CVE-2026-22689: CWE-1385: axllent mailpit 中 WebSocket 缺少来源验证</h1> <p><strong>严重性：中</strong> <strong>类型：漏洞</strong> <strong>CVE：</strong> CVE-2026-22689</p> <p>Mailpit 是一款面向开发者的电子邮件测试工具和 API。在 1.28.2 版本之前，Mailpit WebSocket 服务器被配置为接受来自任何来源的连接。这种 Origin 头部验证的缺失引入了跨站 WebSocket 劫持漏洞。攻击者可以托管一个恶意网站，当运行 Mailpit 的开发者访问该网站时，会与受害者的 Mailpit 实例（默认 ws://localhost:8025）建立 WebSocket 连接。这使得攻击者能够实时拦截敏感数据，如电子邮件内容、邮件头和服务器统计信息。此问题已在 1.28.2 版本中修复。</p>