Ejecuta análisis estático (SAST) sobre el código buscando el patrón inseguro en el flujo de datos.
CWE-1385 Variante Incompleto
Missing Origin Validation in WebSockets
This vulnerability occurs when a WebSocket connection is established without verifying the origin of incoming messages, allowing potentially malicious data from untrusted sources.
Definición
What is CWE-1385?
This vulnerability occurs when a WebSocket connection is established without verifying the origin of incoming messages, allowing potentially malicious data from untrusted sources.
WebSockets enable persistent, two-way communication between a client and server, which is ideal for real-time features. Unlike standard HTTP requests, these connections stay open and are not automatically restricted by browser security policies like the Same-Origin Policy (SOP) or Cross-Origin Resource Sharing (CORS). This means a WebSocket can receive messages from any origin unless the server explicitly validates where the connection is coming from.
Without proper origin checks, attackers can exploit these open channels to launch powerful Cross-Site Request Forgery (CSRF) attacks or send malicious data. To prevent this, developers must implement server-side validation for every WebSocket connection request, ensuring it originates from a trusted and expected domain before allowing communication to proceed.
Impacto en el mundo real
Real-world CVEs caused by CWE-1385
-
web console for SIEM product does not check Origin header, allowing Cross Site WebSocket Hijacking (CSWH)
-
Chain: gaming client attempts to validate the Origin header, but only uses a substring, allowing Cross-Site WebSocket hijacking by forcing requests from an origin whose hostname is a substring of the valid origin.
-
WebSocket server does not check the origin of requests, allowing attackers to steal developer's code using a ws://127.0.0.1:3123/ connection.
-
WebSocket server does not check the origin of requests, allowing attackers to steal developer's code using a ws://127.0.0.1/ connection to a randomized port number.
-
WebSocket server does not check the origin of requests, allowing attackers to steal developer's code using a ws://127.0.0.1:8080/ connection.
Cómo lo explotan los atacantes
Ruta del atacante paso a paso
- 1
Identifica una ruta de código que maneje entrada no confiable sin validación.
- 2
Crea un payload que ejercite el comportamiento inseguro — inyección, traversal, overflow o abuso de lógica.
- 3
Envía el payload a través de una solicitud normal y observa la reacción de la aplicación.
- 4
Itera hasta que la respuesta filtre datos, ejecute código del atacante o escale privilegios.
Ejemplo de código vulnerable
Vulnerable pseudo
MITRE no ha publicado un ejemplo de código para esta CWE. El patrón siguiente es ilustrativo — consulta Recursos para referencias canónicas.
// Example pattern — see MITRE for the canonical references.
function handleRequest(input) {
// Untrusted input flows directly into the sensitive sink.
return executeUnsafe(input);
} Ejemplo de código seguro
Secure pseudo
// Validate, sanitize, or use a safe API before reaching the sink.
function handleRequest(input) {
const safe = validateAndEscape(input);
return executeWithGuards(safe);
} What changed: the unsafe sink is replaced (or the input is validated/escaped) so the same payload no longer triggers the weakness.
Lista de prevención
How to prevent CWE-1385
- Implementation Enable CORS-like access restrictions by verifying the 'Origin' header during the WebSocket handshake.
- Implementation Use a randomized CSRF token to verify requests.
- Implementation Use TLS to securely communicate using 'wss' (WebSocket Secure) instead of 'ws'.
- Architecture and Design / Implementation Require user authentication prior to the WebSocket connection being established. For example, the WS library in Node has a 'verifyClient' function.
- Implementation Leverage rate limiting to prevent against DoS. Use of the leaky bucket algorithm can help with this.
- Implementation Use a library that provides restriction of the payload size. For example, WS library for Node includes 'maxPayloadoption' that can be set.
- Implementation Treat data/input as untrusted in both directions and apply the same data/input sanitization as XSS, SQLi, etc.
Señales de detección
How to detect CWE-1385
Ejecuta pruebas dinámicas de seguridad de aplicaciones (DAST) contra el endpoint en vivo.
Vigila los logs en tiempo de ejecución para detectar trazas de excepción inusuales, entradas malformadas o intentos de bypass de autorización.
Revisión de código: marca cualquier código nuevo que maneje entrada desde esta superficie sin usar los helpers validados del framework.
Plexicus detecta automáticamente CWE-1385 y abre un PR de corrección en menos de 60 segundos.
Codex Remedium escanea cada commit, identifica esta debilidad concreta y entrega un pull request listo para revisión con el parche. Sin tickets. Sin traspasos.
Preguntas frecuentes ¿Qué es CWE-1385?
¿Qué gravedad tiene CWE-1385?
¿Qué lenguajes o plataformas se ven afectados por CWE-1385?
¿Cómo puedo prevenir CWE-1385?
¿Cómo detecta y corrige Plexicus CWE-1385?
¿Dónde puedo aprender más sobre CWE-1385?
Frequently asked questions
¿Qué es CWE-1385?
This vulnerability occurs when a WebSocket connection is established without verifying the origin of incoming messages, allowing potentially malicious data from untrusted sources.
¿Qué gravedad tiene CWE-1385?
MITRE no ha publicado una calificación de probabilidad de explotación para esta debilidad. Trátala como de impacto medio hasta que tu modelo de amenazas demuestre lo contrario.
¿Qué lenguajes o plataformas se ven afectados por CWE-1385?
MITRE lists the following affected platforms: Web Server.
¿Cómo puedo prevenir CWE-1385?
Enable CORS-like access restrictions by verifying the 'Origin' header during the WebSocket handshake. Use a randomized CSRF token to verify requests.
¿Cómo detecta y corrige Plexicus CWE-1385?
El motor SAST de Plexicus detecta la firma de flujo de datos para CWE-1385 en cada commit. Cuando hay coincidencia, nuestro agente Codex Remedium abre un PR de corrección con el código corregido, las pruebas y un resumen de una línea para el revisor.
¿Dónde puedo aprender más sobre CWE-1385?
MITRE publica la definición canónica en https://cwe.mitre.org/data/definitions/1385.html. También puedes consultar la documentación de OWASP y NIST para guías relacionadas.
Debilidades relacionadas
Weaknesses related to CWE-1385
CWE-346 Padre
Origin Validation Error
This vulnerability occurs when an application fails to properly confirm the true origin of incoming data or communication, allowing…
CWE-940 Hermano
Improper Verification of Source of a Communication Channel
This vulnerability occurs when an application accepts incoming communication requests without properly checking where they originate from,…
Recursos
Further reading
- MITRE — CWE-1385 oficial https://cwe.mitre.org/data/definitions/1385.html
- Cross-Site WebSocket Hijacking (CSWSH) https://christian-schneider.net/blog/cross-site-websocket-hijacking/
- WebSockets not Bound by SOP and CORS? Does this mean... https://blog.securityevaluators.com/websockets-not-bound-by-cors-does-this-mean-2e7819374acc
- How to secure your WebSocket connections https://www.freecodecamp.org/news/how-to-secure-your-websocket-connections-d0be0996c556/
- Cross-Site WebSocket Hijacking (CSWSH) https://medium.com/swlh/hacking-websocket-25d3cba6a4b9
- Testing for WebSockets security vulnerabilities https://portswigger.net/web-security/websockets
Listo cuando tú lo estés
Deja de pagar por desarrollador.
Empieza a cerrar el bucle.
Plexicus es el ASPM nativo de IA que escanea, filtra, corrige, pentestea y explica — de forma autónoma. Desarrolladores ilimitados, repos ilimitados, acciones de IA de uso justo. Nivel gratuito real, €269/mo anual cuando estés listo.