CVE-2026-23515

Nome do Software Vulnerável e Versões Afetadas Versões do Signal K Server anteriores a 1.5.0 Versões do plugin Signal K Set-System-Time anteriores a 1.5.0

Descrição Existe um problema de injeção de comandos no Signal K Server e no seu plugin Set-System-Time. Usuários autenticados com permissões de escrita podem executar comandos de shell arbitrários no servidor Signal K quando o plugin set-system-time está ativado. Usuários não autenticados também podem explorar isso se a segurança estiver desativada no servidor Signal K. Isso ocorre devido à construção insegura de comandos de shell ao processar valores navigation.datetime recebidos por meio de mensagens delta do WebSocket. A vulnerabilidade ocorre porque o valor datetime é interpolado diretamente em um comando de shell sem validação, e o comando é então executado usando spawn('sh', ['-c', command]), que interpreta metacaracteres do shell. O plugin pode ser executado com privilégios elevados se o sudo estiver mal configurado. Um proof-of-concept (PoC) demonstra a capacidade de criar um arquivo (/tmp/signalk-RCE.txt) para comprovar a execução de código. A exploração bem-sucedida pode levar ao comprometimento total do sistema.

Recomendações Atualize para a versão 1.5.0 do Signal K Server. Atualize para a versão 1.5.0 do plugin Signal K Set-System-Time. Substitua a execução baseada em shell por child process.execFile() para que a entrada controlada pelo usuário seja passada como argumentos em vez de ser interpretada por um shell. Valide se navigation.datetime está em conformidade com o formato ISO-8601 esperado para melhorar a robustez.