关键信息 漏洞名称: Information Disclosure by Farm's Dev Server in Versions Before v1.7.6 CVE编号: CVE-2025-56647 描述 在Farm版本v1.7.6之前的版本中,存在一个安全漏洞:Farm的开发环境(HMR)服务器在与WebSocket客户端连接时不验证源。这允许攻击者监视访问其网页的开发者,可能窃取被WebSocket服务器泄露的源代码。 证明概念(PoC) 攻击者网页上的代码示例如下: 影响 此漏洞可被利用以获取开发者的源代码,前提是他们访问了攻击者控制的网站。 CVSS v3 Score: 6.5/10 弱点: CWE-1385(WebSocket中的源验证缺失) 缓解措施 更新到v1.7.6或以上版本,或在运行farm dev时避免访问不受信任的站点。 如果不可能,使用代理隔离开发环境。