技術的な説明
Cline(GitHub スターが 100k 以上の自律型コーディングエージェント、VS Code 拡張機能、SDK、CLI として利用可能)の Kanban サーバーコンポーネントに重大なクロスオリジン WebSocket ハイジャック脆弱性が存在します。バージョン 2.13.0 以前は、Origin 検証もセッショントークンもない状態でローカル WebSocket サーバーを起動します。開発者のブラウザで訪問した悪意のあるウェブサイトはオリジン境界を越えることができ、ローカルの Cline Kanban WebSocket に静かに接続して、ワークスペースファイルとリポジトリコンテンツを流出させ、実行中の AI エージェントに任意のコマンドを注入することができます。Oasis Security は主要な技術勧告を公開し(CVSS 9.7 として採点)、CVE には NVD で CVSS 9.6 が割り当てられました。脆弱性は Cline Kanban コンポーネント v0.1.66 以降で修正されました。ただし、メインの Cline パッケージ(2.13.0 まで)は公開時点でパッチが利用できないまま NVD で脆弱性として記載されています。
攻撃経路
Cline が実行中の開発者が悪意のあるウェブページを訪問します(フィッシング、悪意のある広告、または侵害されたサイトなど)。ウェブページの JavaScript は Cline の Kanban サーバーで使用されているローカルホスト WebSocket ポートに接続します — 認証もオリジンチェックも実行されません。攻撃者はワークスペースデータの読み取り、ファイルの一覧表示、ソースコードの流出、および Cline に開発者の認証情報下でシェルコマンドを実行させるタスク指示の注入ができます。
影響を受けるシステム
Cline バージョン 2.13.0 以前(VS Code 拡張機能、SDK、CLI)。エクスプロイトチェーンには、開発者がウェブを閲覧しながら Cline の Kanban サーバーを実行中(Cline UI を通じて有効化)にしていることが必要です。
緩和策
1) パッチ済みリリースが利用可能になるまで、設定で Cline の Kanban サーバー機能を無効化します。2) Kanban コンポーネントを個別に使用している場合は、Cline Kanban v0.1.66 以降にアップグレードします。3) AI コーディングエージェントがアクティブな間、開発者ワークステーションが信頼できないサイトを閲覧しないように制限します。4) 予期しないデータ転送がないか、開発者マシンからの送信接続を監視します。5) NVD に記載された脆弱性に対応する公式 Cline パッケージ更新(2.13.0 以降)を待ちます。