CVE-2026-33951

Name of the Vulnerable Software and Affected Versions Signal K Server versões anteriores a 2.24.0-beta.1

Description O Signal K Server possui um endpoint HTTP não autenticado que permite que atacantes remotos modifiquem as prioridades das fontes de dados de navegação. O endpoint, acessível via PUT /signalk/v1/api/sourcePriorities, não impõe verificações de autenticação ou autorização e atribui diretamente a entrada controlada pelo usuário à configuração do servidor. Os atacantes podem influenciar quais fontes de dados GPS, AIS ou outros sensores são confiáveis pelo sistema. As alterações são aplicadas imediatamente e persistidas em disco. O código vulnerável está localizado em src/serverroutes.ts nas linhas 1064-1076 dentro da função de tratamento de configuração de prioridades de fonte. O problema decorre da falta de autenticação, atribuição direta de configuração, armazenamento persistente de configuração maliciosa, atualizações de configuração ao vivo e falta de validação de entrada.

Recommendations Atualize o Signal K Server para a versão 2.24.0-beta.1 ou posterior.