W wersjach 2.13.0 i wcześniejszych narzędzia Cline (autonomiczny agent kodowania) istnieje podatność cross-origin WebSocket hijack w komponentach Cline Kanban servers. Podatność uzyskała ocenę CVSS 9.6 (CRITICAL), co wskazuje na poważne ryzyko dla użytkowników.
▸ Pokaż oryginał (EN)
Cline is an autonomous coding agent as an SDK, IDE extension, or CLI assistant. In versions 2.13.0 and prior, there is a cross-origin WebSocket hijack vulnerability in Cline Kanban servers. At time of publication, there are no publicly available patches.
Atak polega na przejęciu połączenia WebSocket z serwera Cline Kanban poprzez nieautoryzowane żądania z innego źródła (cross-origin). Podatność powiązana jest z CWE-306 (brak uwierzytelnienia krytycznych funkcji) oraz CWE-1385 (nieprawidłowa weryfikacja źródła WebSocket), co oznacza, że serwer nie weryfikuje poprawnie, czy żądanie pochodzi z zaufanego źródła. W efekcie złośliwa strona internetowa odwiedzona przez ofiarę może nawiązać nieautoryzowane połączenie WebSocket z lokalnym serwerem Cline i wykonywać działania w imieniu użytkownika.
Atakujący może uzyskać nieautoryzowany dostęp do sesji WebSocket ofiary, co potencjalnie prowadzi do pełnego naruszenia poufności, integralności oraz dostępności danych i funkcji środowiska Cline — w tym możliwości wykonywania poleceń agenta kodowania.
W momencie publikacji nie istnieją publicznie dostępne patche. Należy śledzić repozytorium producenta (https://github.com/cline/cline) i zastosować patche niezwłocznie po ich udostępnieniu. Do czasu wydania poprawki zaleca się ograniczenie dostępu do komponentu Cline Kanban servers oraz unikanie korzystania z Cline w środowiskach, gdzie użytkownik może odwiedzać niezaufane strony internetowe.
Cline w wersjach 2.13.0 i wcześniejszych (jako SDK, rozszerzenie IDE lub asystent CLI), korzystających z komponentu Cline Kanban servers
W momencie publikacji (2026-06-01) brak jest publicznie dostępnych poprawek dla tej podatności — informacja wprost wskazana w opisie oryginalnym.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:HCline
APPCline≤ 2.13.0