CVE-2026-35038

Nome do Software Vulnerável e Versões Afetadas Signal K Server versões anteriores a 2.24.0

Descrição Signal K Server, um aplicativo de servidor usado em barcos, contém uma falha onde um usuário autenticado com privilégios baixos pode ignorar a filtragem de limites de protótipo para extrair funções e propriedades internas do objeto de protótipo global. Essa ignorância ocorre por meio da manipulação do campo from em operações JSON-patch, especificamente direcionando o endpoint '/signalk/v1/applicationData/... JSON-patch'. A vulnerabilidade permite a leitura de mais dados do que o pretendido, violando o isolamento de dados. O problema se deve a uma proteção de segurança que verifica apenas a propriedade 'path' de objetos JSON-patch recebidos, ignorando a propriedade 'from'. A operação copy, usando a propriedade from, pode direcionar '/ proto /someProperty', ignorando a verificação de segurança. O código vulnerável reside em 'src/interfaces/applicationData.js' (Linhas 48-57) dentro da função hasPrototypePollutionPatch, que valida apenas a propriedade path e não a propriedade from.

Recomendações Atualize o Signal K Server para a versão 2.24.0 ou posterior.