CVE-2026-34083

Nome do Software Vulnerável e Versões Afetadas: SignalK Server versões anteriores a 2.24.0

Descrição: O SignalK Server contém uma falha de nível de código em seus manipuladores de login e logout OIDC, onde o cabeçalho HTTP Host não validado é usado para construir o redirect uri OAuth2. Como a configuração redirectUri é silenciosamente desativada por padrão, um invasor pode falsificar o cabeçalho Host para roubar códigos de autorização OAuth e sequestrar sessões de usuário. O provedor OIDC enviará então o código de autorização para o domínio injetado. A vulnerabilidade é amplificada pela documentação oficial que recomenda uma configuração Nginx que encaminha o cabeçalho Host vulnerável. A falha afeta o manipulador de login em 'oidc-auth.ts' (linhas 278-282) e o manipulador de logout em 'oidc-auth.ts' (linhas 513-515), ambos utilizando o cabeçalho host controlado pelo invasor para construir URIs de redirecionamento.

Recomendações: Atualize para a versão 2.24.0 ou posterior do SignalK Server.