CVE-2026-25228

Nome do Software Vulnerável e Versões Afetadas Versões do Signal K Server anteriores à 2.20.3

Descrição O Signal K Server, uma aplicação de servidor utilizada em ambientes marinhos, contém um problema de path traversal em sua API applicationData. Usuários autenticados em sistemas Windows podem potencialmente ler, escrever e listar arquivos e diretórios arbitrários no sistema de arquivos. A função validateAppId() valida inadequadamente a entrada, especificamente falhando em bloquear barras invertidas (``), que são reconhecidas como separadores de diretório em sistemas Windows. Isso permite que atacantes contornem as restrições pretendidas do diretório applicationData. A vulnerabilidade existe devido à sanitização incompleta do parâmetro appid dentro da função validateAppId(). A função verifica apenas barras para frente (/) e não considera barras invertidas, que, quando combinadas com a função path.join() no Windows, habilitam sequências de travessia de diretório como ....... Um script de prova de conceito (PoC) demonstra a capacidade de transitar por níveis de diretório e acessar arquivos sensíveis.

Recomendações Versões anteriores à 2.20.3: Adicionar validação de barra invertida à função validateAppId(). Versões anteriores à 2.20.3: Utilizar path.normalize() e validar se os caminhos resolvidos permanecem dentro do diretório pretendido.