Wiz
Database delle vulnerabilitàCVE-2025-54376

CVE-2025-54376
Analisi e mitigazione delle vulnerabilità

Panoramica

Hoverfly, an open source API simulation tool, contains a vulnerability in versions 1.11.3 and prior where its admin WebSocket endpoint /api/v2/ws/logs is not protected by authentication middleware, even when authentication is enabled. The vulnerability was discovered in September 2025 and assigned CVE-2025-54376 (GitHub Advisory).

Dettagli tecnici

The vulnerability stems from a missing authentication check on the WebSocket logs endpoint. While the REST admin API requires credentials when authentication is enabled, the WebSocket endpoint /api/v2/ws/logs remains accessible without authentication. This allows unauthenticated users to establish WebSocket connections and receive real-time application logs. The vulnerability has been assigned a CVSS rating of Moderate (GitHub Advisory).

Impatto

An unauthenticated remote attacker can stream real-time application logs, potentially gaining access to sensitive information including internal file paths, request/response bodies, tokens, and other data emitted in logs. This represents an information disclosure vulnerability that could expose sensitive operational data (GitHub Advisory).

Mitigazione e soluzioni alternative

A fix has been implemented in commit ffc2cc34563de67fe1a04f7ba5d78fa2d4564424 which adds authentication middleware to the WebSocket endpoint. The patch ensures that the same authentication requirements applied to REST endpoints are also enforced for WebSocket connections (GitHub Commit).

Risorse aggiuntive

FonteQuesto report è stato generato utilizzando l'intelligenza artificiale

Valutazione gratuita delle vulnerabilità

Benchmark della tua posizione di sicurezza del cloud

Valuta le tue pratiche di sicurezza cloud in 9 domini di sicurezza per confrontare il tuo livello di rischio e identificare le lacune nelle tue difese.

Richiedi valutazione

Ulteriori risorse Wiz

PEACH

PEACH

Un framework di isolamento del tenant

Richiedi una demo personalizzata

Pronti a vedere Wiz in azione?

"La migliore esperienza utente che abbia mai visto offre piena visibilità ai carichi di lavoro cloud."
David EstlickCISO (CISO)
"Wiz fornisce un unico pannello di controllo per vedere cosa sta succedendo nei nostri ambienti cloud."
Adam FletcherResponsabile della sicurezza
"Sappiamo che se Wiz identifica qualcosa come critico, in realtà lo è."
Greg PoniatowskiResponsabile della gestione delle minacce e delle vulnerabilità
Richiedi una demo