PT-2026-29796 · Unknown · Signal K Server
Vashuvats
·
Publicado
2026-04-02
·
Atualizado
2026-04-04
·
CVE-2026-33950
CVSS v3.1
9.4
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L |
Name of the Vulnerable Software and Affected Versions
Signal K Server versões anteriores a 2.24.0-beta.4
Description
Signal K Server, um aplicativo de servidor usado em sistemas de navegação marítima, contém uma falha de escalação de privilégios. Um invasor não autenticado pode explorar isso para obter acesso total de Administrador ao servidor. Isso é alcançado por meio de Injeção de Função de Administrador via o endpoint da API '/enableSecurity'. A exploração bem-sucedida permite a modificação de dados de roteamento de embarcações confidenciais, a alteração de configurações do servidor e o acesso a endpoints restritos.
Recommendations
Atualize o Signal K Server para a versão 2.24.0-beta.4 ou posterior.
Correção
LPE
Missing Authorization
Authentication Bypass Using an Alternate Path or Channel
Improper Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Signal K Server