CVE-2026-39320

Name of the Vulnerable Software and Affected Versions Signal K Server versões anteriores a 2.25.0

Description Existe um Denial of Service de Expressão Regular (ReDoS) não autenticado na lógica de manipulação de assinaturas WebSocket. Ao injetar metacaracteres de regex não escapados no parâmetro context de uma assinatura de fluxo, um invasor pode desencadear um backtracking catastrófico no loop de eventos do Node.js quando o servidor avalia identificadores de string longos. Isso ocorre porque as funções contextMatcher() e pathMatcher() em signalk-server/src/subscriptionmanager.ts não escapam metacaracteres perigosos como +, (, ), ?, [, e ]. Consequentemente, a CPU do servidor atinge 100%, tornando o sistema completamente responsivo a solicitações de API ou socket.

Recommendations Atualize o Signal K Server para a versão 2.25.0.