Welche Risiken sind mit diesen signalk-server-Schwachstellen verbunden?

Die Schwachstellen in signalk-server können zu Privilegienerweiterungen, unbefugtem Zugriff auf sensible Schiffsdaten, Manipulation von Navigationsdatenquellen und potenzieller Entführung von Benutzersitzungen führen. Diese Risiken können die Sicherheit und Integrität des Navigationssystems des Schiffes beeinträchtigen.

Wie aktualisiere ich signalk-server auf die neueste Version?

Sie können signalk-server mit dem Befehl `npm update signalk-server` auf die neueste Version aktualisieren. Dadurch wird sichergestellt, dass Sie die gepatchte Version haben, die die identifizierten Schwachstellen behebt.

Welche Versionen von signalk-server sind von diesen Schwachstellen betroffen?

Die Schwachstellen betreffen signalk-server Versionen vor 2.24.0 und 2.24.0-beta.1, 2.24.0-beta.4. Es ist entscheidend, auf Version 2.24.0, 2.24.0-beta.1 oder 2.24.0-beta.4 oder höher zu aktualisieren, um diese Risiken zu mindern.

Mehrere Schwachstellen in signalk-server

Q: Was ist signalk-server?

Signalk-server ist eine Serveranwendung, die für den Einsatz auf Booten entwickelt wurde und als zentrale Drehscheibe für die Verwaltung und Verteilung von Navigationsdaten von verschiedenen Sensoren dient. Sie sammelt, verarbeitet und teilt Daten über verschiedene Geräte und Anwendungen auf dem Schiff.

In signalk-server, einer Serveranwendung für Boote, wurden mehrere Schwachstellen entdeckt, die potenziell zu Privilegienerweiterungen, Datenmanipulationen und Offenlegung von Informationen führen können. Diese Schwachstellen betreffen Versionen vor 2.24.0. Benutzern wird empfohlen, auf die neueste Version zu aktualisieren, um diese Risiken zu mindern.

Diese Schwachstellen reichen von mittel bis kritisch und ermöglichen es Angreifern potenziell, den Server zu kompromittieren.

Was ist Signalk Server?

Signalk Server ist eine Serveranwendung, die für den Betrieb auf einem zentralen Hub in einem Boot entwickelt wurde und Navigationsdaten verwaltet und verteilt. Sie verarbeitet Informationen von verschiedenen Sensoren wie GPS, AIS und anderen nautischen Instrumenten. Der Server dient als zentrale Stelle für das Sammeln, Verarbeiten und Teilen dieser Daten über verschiedene Geräte und Anwendungen auf dem Schiff. Aufgrund seiner zentralen Rolle bei der Verwaltung sensibler Navigationsdaten können Schwachstellen im Signalk Server erhebliche Folgen haben. Diese können von unbefugtem Zugriff auf Schiffsdaten bis hin zur vollständigen Kompromittierung der Serverfunktionalität reichen. Weitere Informationen finden Sie unter alle signalk-server CVEs durchsuchen. signalk-server ist eine Komponente für nodejs.

CVE-2026-35038: Beliebiges Prototyp-Lesen über `from` Feld-Bypass

CVSSN/A

Betroffene VersionenDiese Schwachstelle betrifft signalk-server Versionen vor 2.24.0.

Kein CVSS-Score angegeben.

Kein EPSS-Score angegeben.

Der Signal K Server ist anfällig für ein beliebiges Prototyp-Lesen über den `from` Feld-Bypass. Ein authentifizierter Benutzer mit niedrigen Berechtigungen kann die Prototyp-Grenzenfilterung umgehen, um interne Funktionen und Eigenschaften aus dem globalen Prototypobjekt zu extrahieren.

Wie man CVE-2026-35038 in signalk-server behebt

Innerhalb von 7 Tagen patchen

1.Aktualisieren Sie signalk-server auf Version 2.24.0 oder höher.

Aktualisieren Sie signalk-server

npm update signalk-server

Workaround: Kein bekannter Workaround.

NextGuard kennzeichnet CVE-2026-35038 automatisch, wenn signalk-server in einem Ihrer überwachten Projekte vorkommt – keine manuelle Suche erforderlich.

CVE-2026-33951: Nicht authentifizierte Manipulation von Quellenprioritäten

CVSSN/A

Betroffene VersionenDiese Schwachstelle betrifft signalk-server Versionen vor 2.24.0-beta.1.

Kein CVSS-Score angegeben.

Kein EPSS-Score angegeben.

Der SignalK Server stellt einen nicht authentifizierten HTTP-Endpunkt bereit, der es Remote-Angreifern ermöglicht, die Prioritäten von Navigationsdatenquellen zu ändern. Dies kann beeinflussen, welchen GPS-, AIS- oder anderen Sensordatenquellen das System vertraut.

Wie man CVE-2026-33951 in signalk-server behebt

Patch innerhalb von 24 Stunden

1.Aktualisieren Sie signalk-server auf Version 2.24.0-beta.1 oder höher.

Aktualisieren Sie signalk-server

npm update signalk-server

Workaround: Kein bekannter Workaround.

NextGuard kennzeichnet CVE-2026-33951 automatisch, wenn signalk-server in einem Ihrer überwachten Projekte vorkommt – keine manuelle Suche erforderlich.

CVE-2026-34083: Diebstahl von OAuth-Autorisierungscodes über nicht validierten Host-Header im OIDC-Flow

CVSS6.1

Betroffene VersionenDiese Schwachstelle betrifft signalk-server Versionen vor 2.24.0.

Mittlere Schwere.

Kein EPSS-Score angegeben.

SignalK Server enthält eine Code-Level-Schwachstelle in seinen OIDC-Login- und Logout-Handlern, bei der der nicht validierte HTTP-Host-Header verwendet wird, um die OAuth2 redirect_uri zu erstellen. Ein Angreifer kann den Host-Header fälschen, um OAuth-Autorisierungscodes zu stehlen und Benutzersitzungen zu kapern.

Wie man CVE-2026-34083 in signalk-server behebt

Patch innerhalb von 24 Stunden

1.Aktualisieren Sie signalk-server auf Version 2.24.0 oder höher.

Aktualisieren Sie signalk-server

npm update signalk-server

Workaround: Kein bekannter Workaround.

NextGuard kennzeichnet CVE-2026-34083 automatisch, wenn signalk-server in einem Ihrer überwachten Projekte vorkommt – keine manuelle Suche erforderlich.

CVE-2026-33950: Privilegienerweiterung durch Admin-Rollen-Injection über /enableSecurity

CVSS9.4

Betroffene VersionenDiese Schwachstelle betrifft signalk-server Versionen vor 2.24.0-beta.4.

Kritische Schwere.

Kein EPSS-Score angegeben.

Ein nicht authentifizierter Angreifer kann jederzeit vollen Administratorzugriff auf den SignalK-Server erhalten, wodurch er sensible Schiffsroutingdaten ändern, Serverkonfigurationen ändern und auf eingeschränkte Endpunkte zugreifen kann. Dies wird durch Admin-Rollen-Injection über den /enableSecurity-Endpunkt erreicht.

Wie man CVE-2026-33950 in signalk-server behebt

Sofort patchen

1.Aktualisieren Sie signalk-server auf Version 2.24.0-beta.4 oder höher.

Aktualisieren Sie signalk-server

npm update signalk-server

Workaround: Kein bekannter Workaround.

NextGuard kennzeichnet CVE-2026-33950 automatisch, wenn signalk-server in einem Ihrer überwachten Projekte vorkommt – keine manuelle Suche erforderlich.

Bleiben Sie nodejs-Schwachstellen einen Schritt voraus

Erkennen und beheben Sie proaktiv Schwachstellen in Ihren nodejs-Projekten. Verwenden Sie NextGuard, um Ihre nodejs-Abhängigkeiten zu überwachen.

Pläne vergleichen

Häufig gestellte Fragen

In signalk-server wurden mehrere Schwachstellen entdeckt. Es ist entscheidend, auf die neueste Version zu aktualisieren, um diese Risiken zu mindern und die Sicherheit Ihres Navigationssystems zu gewährleisten. Sie können alle nodejs-Schwachstellen auf unserer Plattform einsehen.

Verwandte Themen

nodejsvulnerabilitysignalk-serversecuritypatch