Websocket Server 安全漏洞CVE-2025-66902

Websocket Server是个人开发者Manos开发的一个WebSocket Server（简称为 “Manos Websocket Server”），聚焦轻量级工具开发。

一、基本情况

Websocket Server是一款轻量级的、面向个人/小型项目的 WebSocket 服务器实现，核心特点是极简、易部署、能够适配快速开发场景。

WebSocket 服务器为个人开发者、小型项目提供 “开箱即用” ，降低实时通信功能门槛，无需复杂配置即可快速搭建双向实时通信服务。

栋科技漏洞库关注到 Websocket Server 0.6.4版本存在安全漏洞，该漏洞现在已经被追踪为CVE-2025-66902，CVSS 3.X评分为7.5。

二、漏洞分析

CVE-2025-66902是Websocket Server 0.6.4版本中的安全漏洞，漏洞源于输入验证问题，导致被获取敏感信息或导致意外服务器行为。

WebSocket服务器在处理客户端发送的消息时未进行适当的输入验证。收到的消息被解码后未经充分检查就直接传递给JSON解析逻辑。

远程攻击者可通过websocket_server/websocket_server.py和WebSocketServer._message_received组件执行相关操作。

1、具体而言，当处理不受信任的WebSocket消息时，如果没有采取以下措施，就会出现问题：

（1）输入大小限制

（2）格式或模式验证

（3）健壮的异常处理

2、当远程客户端发送格式错误或特制的有效载荷时，这可能会导致服务器出现意外行为。

3、受影响的组件

websocket_server/websocket_server.py WebSocketServer._message_received

4、影响

远程客户端可以：

触发服务器端异常

导致不稳定或意外行为

根据配置，可能会暴露内部错误状态

三、POC概念验证

1、包含文件：

vuln.py — 最小的易受攻击的WebSocket服务器示例

管理员已设置登录后刷新可查看

poc.py — 客户端向服务器发送精心编制的输入数据

管理员已设置登录后刷新可查看

2、该概念验证（PoC）展示了服务器如何处理未经验证的输入。

四、影响范围

Websocket Server 0.6.4

五、修复建议

Websocket Server >0.6.4

六、参考链接

管理员已设置登录后刷新可查看