CVE-2026-41893

Nome do Software Vulnerável e Versões Afetadas Signal K Server versões anteriores a 2.25.0

Descrição O caminho de login via WebSocket, que envolve o envio de mensagens {login: {username, password}} através de uma conexão estabelecida, chama a função app.securityStrategy.login() diretamente sem limitação de taxa. Enquanto os endpoints de login HTTP 'POST /login' e 'POST /signalk/v1/auth/login' são protegidos pelo express-rate-limit (padrão de 100 tentativas a cada 10 minutos via HTTP RATE LIMITS), o caminho WebSocket permite que um invasor ignore essas restrições. Isso possibilita tentativas ilimitadas de adivinhação de senha na velocidade permitida pelo bcrypt, aproximadamente 20 tentativas por segundo. O problema está localizado na função processLoginRequest em src/interfaces/ws.ts.

Recomendações Atualize para a versão 2.25.0.