Plataforma
nodejs
Componente
signalk-server
Corregido en
2.24.1
2.24.0-beta.1
Se ha descubierto una vulnerabilidad en signalK-server que permite a atacantes no autenticados modificar las prioridades de las fuentes de datos de navegación. Esta vulnerabilidad reside en el punto final HTTP PUT /signalk/v1/api/sourcePriorities, que carece de autenticación y autorización. La vulnerabilidad afecta a versiones anteriores a 2.24.0-beta.1 y permite la manipulación de datos críticos del sistema.
Un atacante puede explotar esta vulnerabilidad para influir en qué fuentes de datos GPS, AIS u otros sensores son considerados confiables por el sistema signalK-server. Al modificar las prioridades, el atacante puede introducir datos falsos o engañosos, comprometiendo la precisión de la navegación y potencialmente causando errores de navegación o incluso peligros para la seguridad. Los cambios realizados son persistentes, lo que significa que sobreviven a los reinicios del servidor, ampliando el impacto de la vulnerabilidad. La falta de autenticación facilita la explotación, ya que no se requiere credenciales para acceder al punto final vulnerable.
Esta vulnerabilidad ha sido publicada el 2026-04-03. No se han reportado campañas de explotación activas conocidas al momento de la publicación. La vulnerabilidad se considera de alta probabilidad de explotación debido a la facilidad de acceso al punto final vulnerable y la falta de autenticación. Se recomienda monitorear la situación y aplicar las mitigaciones necesarias.
Maritime vessels and organizations relying on SignalK Server for navigation and data logging are at risk. This includes recreational boaters, commercial shipping companies, and any system integrating SignalK data for decision-making. Systems with exposed SignalK Server instances without proper network segmentation are particularly vulnerable.
• nodejs / server: Monitor access logs for requests to /signalk/v1/api/sourcePriorities without authentication headers.
grep -i '/signalk/v1/api/sourcePriorities' access.log | grep -v 'Authorization:'• nodejs / server: Use lsof or ss to identify processes listening on the port used by SignalK Server and verify that access is properly restricted.
ss -tulnp | grep signalk• generic web: Check for unusual or unexpected changes in the server's configuration files related to data source priorities.
disclosure
Estado del Exploit
EPSS
0.07% (22% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar signalK-server a la versión 2.24.0-beta.1 o posterior, que incluye la corrección de esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso al punto final /signalk/v1/api/sourcePriorities a través de un firewall o proxy, limitando el acceso solo a fuentes confiables. Implementar una capa de autenticación en el punto final también puede mitigar el riesgo. Monitorear los logs del servidor en busca de solicitudes sospechosas al punto final vulnerable es crucial.
Actualice Signal K Server a la versión 2.24.0-beta.1 o superior. Esta versión corrige la vulnerabilidad que permite la manipulación no autenticada de las prioridades de las fuentes de datos.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
It's a vulnerability in SignalK Server allowing unauthenticated attackers to change the priority of navigation data sources, potentially leading to inaccurate readings.
If you are running SignalK Server versions prior to 2.24.0-beta.1, you are potentially affected by this vulnerability.
Upgrade SignalK Server to version 2.24.0-beta.1 or later. Back up your configuration before upgrading.
No active campaigns have been reported, but the unauthenticated nature makes it a potential target.
Refer to the official SignalK project website and security advisories for more details and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.