CVE-2026-10099
MediumCVSS 4.0Summary
XX-Net w wersji 5.16.6 zawiera podatność na analizę ramek WebSocket w procedurze WebSocket_receive_worker w pliku simple_http_server.py. Umożliwia to atakującym powodowanie uszkodzenia danych aplikacji poprzez wysyłanie niezamaskowanych ramek WebSocket.
Risk Assessment
Podatność ta może prowadzić do uszkodzenia danych aplikacji, co może wpłynąć na integralność i dostępność usług. Atakujący mogą wykorzystać tę lukę do wprowadzenia nieprawidłowych danych do systemu.
Recommendation
Zaleca się aktualizację do najnowszej wersji XX-Net, która naprawia tę podatność. Należy również monitorować ruch WebSocket w celu wykrywania potencjalnych prób ataków.
Original NVD description (English source)
XX-Net V5.16.6 contains a WebSocket frame parsing vulnerability in the WebSocket_receive_worker routine of simple_http_server.py that allows attackers to cause corrupted application data by sending unmasked WebSocket frames. The server unconditionally reads 4 bytes as a masking key regardless of whether the MASK bit is set in the frame header, causing the first 4 bytes of payload to be consumed as a mask key and the remaining payload to be incorrectly XOR-decoded, resulting in data corruption alongside missing RSV bit, opcode, and FIN fragmentation validations.

