signalk-server : Élévation de privilèges par injection de rôle d’administrateur via /enableSecurity
Plateforme
nodejs
Composant
signalk-server
Corrigé dans
2.24.1
2.24.0-beta.4
La vulnérabilité CVE-2026-33950 dans Signal K Server permet une escalade de privilèges via l'injection de rôle d'administrateur. Un attaquant non authentifié peut obtenir un accès administrateur complet au serveur. Les versions affectées sont inférieures à 2.24.0-beta.4. La vulnérabilité est corrigée dans la version 2.24.0-beta.4.
Impact et Scénarios d'Attaque
La vulnérabilité CVE-2026-33950 dans SignalK Server permet à des attaquants non authentifiés de créer un compte administrateur. Cela est dû au fait que la route /skServer/enableSecurity reste active même après la configuration initiale de la sécurité. Conçue à l'origine pour permettre au propriétaire de configurer le compte administrateur initial, cette route n'est jamais désactivée, permettant à toute personne ayant accès au réseau de créer un compte administrateur, compromettant ainsi complètement le serveur SignalK. Le score CVSS de 9,4 indique une vulnérabilité critique, avec un impact potentiel élevé sur la confidentialité, l'intégrité et la disponibilité des données du serveur et des appareils connectés.
Contexte d'Exploitation
La vulnérabilité est exploitable via une simple requête HTTP vers la route /skServer/enableSecurity sans nécessiter d'authentification. Un attaquant peut utiliser des outils tels que curl ou Postman pour envoyer les données nécessaires à la création d'un nouveau compte administrateur. Étant donné que la route reste active, un attaquant peut exploiter cette vulnérabilité à tout moment, à condition qu'il ait accès au réseau sur lequel le serveur SignalK est en cours d'exécution. La facilité d'exploitation et l'impact potentiel élevé font de cette vulnérabilité une menace importante pour les utilisateurs de SignalK Server.
Qui Est à Risquetraduction en cours…
SignalK server deployments that have not been upgraded past the vulnerable versions are at risk. This includes systems used in marine applications, IoT devices, and any environment where SignalK is used to collect and process data. Shared hosting environments running SignalK are particularly vulnerable due to the ease of access and potential for widespread impact.
Étapes de Détectiontraduction en cours…
• nodejs / server: Monitor server logs for requests to /skServer/enableSecurity after initial setup.
grep '/skServer/enableSecurity' /var/log/signalk/server.log• generic web: Use curl to attempt accessing /skServer/enableSecurity on SignalK servers. A successful response indicates a potential vulnerability.
curl http://<signalk_server_ip>/skServer/enableSecurityChronologie de l'Attaque
- Disclosure
disclosure
Renseignement sur les Menaces
Statut de l'Exploit
EPSS
0.06% (percentile 20%)
CISA SSVC
Vecteur CVSS
Que signifient ces métriques?
- Attack Vector
- Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
- Attack Complexity
- Faible — aucune condition spéciale requise. Exploitable de manière fiable.
- Privileges Required
- Aucun — sans authentification. Aucune identifiant requis pour exploiter.
- User Interaction
- Aucune — attaque automatique et silencieuse. La victime ne fait rien.
- Scope
- Inchangé — impact limité au composant vulnérable.
- Confidentiality
- Élevé — perte totale de confidentialité. L'attaquant peut lire toutes les données.
- Integrity
- Élevé — l'attaquant peut écrire, modifier ou supprimer toutes les données.
- Availability
- Faible — déni de service partiel ou intermittent.
Logiciel Affecté
Classification de Faiblesse (CWE)
Chronologie
- Réservé
- Publiée
- EPSS mis à jour
Mitigation et Contournements
L'atténuation principale consiste à mettre à niveau vers SignalK Server version 2.24.0-beta.4 ou ultérieure. Cette version corrige la vulnérabilité en désactivant la route /skServer/enableSecurity après la configuration initiale. Si une mise à niveau immédiate n'est pas possible, il est recommandé d'isoler le serveur SignalK sur un réseau sécurisé, en restreignant l'accès aux seuls utilisateurs de confiance. Surveiller le serveur à la recherche d'une activité inhabituelle peut également aider à détecter les tentatives d'exploitation. Appliquer la mise à jour dès que possible est essentiel pour minimiser le risque de compromission.
Comment corrigertraduction en cours…
Actualice Signal K Server a la versión 2.24.0-beta.4 o superior. Esta versión corrige la vulnerabilidad de escalada de privilegios que permite a atacantes no autenticados obtener acceso de administrador. La actualización impedirá la modificación no autorizada de datos de enrutamiento y configuraciones del servidor.
Newsletter Sécurité CVE
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Questions fréquentes
Qu'est-ce que CVE-2026-33950 — Privilege Escalation dans signalk-server ?
SignalK Server est un serveur de données de navigation qui collecte et traite les données provenant de divers capteurs et appareils.
Suis-je affecté(e) par CVE-2026-33950 dans signalk-server ?
Elle permet à un attaquant de créer un compte administrateur, ce qui lui donne un contrôle total sur le serveur et les appareils connectés.
Comment corriger CVE-2026-33950 dans signalk-server ?
Isolez le serveur sur un réseau sécurisé et surveillez l'activité inhabituelle.
CVE-2026-33950 est-il activement exploité ?
Examinez les comptes d'utilisateur et les journaux du serveur à la recherche d'une activité suspecte.
Où trouver l'avis officiel de signalk-server pour CVE-2026-33950 ?
Consultez la documentation de sécurité de SignalK et les alertes de sécurité de votre fournisseur de sécurité.
Ton projet est-il affecté ?
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.