漏洞概述 该漏洞涉及在 项目中,直接 CDP(Chrome DevTools Protocol)websocket 验证的加固。具体问题是,在连接严格的 SSRF(服务器端请求伪造)策略之前,未对 CDP websocket 端点进行充分验证,导致潜在的安全风险。 影响范围 影响模块: 和 影响版本:v2026.5.6 至 v2026.4.5 影响用户:所有使用 项目的用户,特别是那些依赖 CDP websocket 功能的用户。 修复方案 1. 代码变更: - 在 中,增加了对直接 websocket URL 的验证,确保其不在严格的 SSRF 策略之外。 - 在 中,增加了 函数的验证逻辑,确保 CDP 端点的 URL 符合安全策略。 2. 具体代码变更: - : - : 3. 其他变更: - 更新了 ,记录了此次修复。 - 更新了 模块,减少误报的网关日志。 - 更新了 模块,要求节点配对时仍需使用 或 权限。 - 更新了 模块,限制了 Anthropic 提示缓存和 标记的使用。 总结 此次修复通过增加对 CDP websocket 端点的严格验证,防止了潜在的 SSRF 攻击,提升了系统的安全性。