XX-Net V5.16.6 WebSocket Frame Parsing Data Corruption via simple_http_server.py 漏洞概述 XX-Net V5.16.6 及更早版本在 的 例程中存在 WebSocket 帧解析漏洞,允许攻击者通过发送未掩码的 WebSocket 帧来导致应用程序数据损坏。服务器无条件读取 4 字节作为掩码密钥,无论帧头中的 MASK 位是否设置,导致前 4 字节的负载被错误地解码为掩码密钥,其余负载被错误地 XOR 解码,导致数据损坏以及缺少 RSV 位、操作码和 FIN 分片验证。 影响范围 XX-Net <= 5.16.6 修复方案 在 commit 43aec6f 中修复 参考链接 GitHub Issue Pull Request Patch Commit 其他信息 严重性: LOW 日期: 5/29/2026 CVE: CVE-2026-10099 CWE: CWE-1286 Improper Validation of Syntactic Correctness of Input CVSS: 4.8 CVSS V4 Vector: CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:SA:N 贡献者: YU SUN