Mark Curphey

**Nome do Software Vulnerável e Versões Afetadas** Signal K Server versões anteriores a 2.25.0 **Descrição** O caminho de login via WebSocket, que envolve o envio de mensagens `{login: {username, password}}` através de uma conexão estabelecida, chama a função `app.securityStrategy.login()` diretamente sem limitação de taxa. Enquanto os endpoints de login HTTP 'POST /login' e 'POST /signalk/v1/auth/login' são protegidos pelo `express-rate-limit` (padrão de 100 tentativas a cada 10 minutos via `HTTP RATE LIMITS`), o caminho WebSocket permite que um invasor ignore essas restrições. Isso possibilita tentativas ilimitadas de adivinhação de senha na velocidade permitida pelo bcrypt, aproximadamente 20 tentativas por segundo. O problema está localizado na função `processLoginRequest` em `src/interfaces/ws.ts`. **Recomendações** Atualize para a versão 2.25.0.