Platform
nodejs
Component
signalk-server
Opgelost in
2.24.1
2.24.0-beta.4
CVE-2026-33950 is een privilege escalatie kwetsbaarheid in Signal K Server. Een niet-geauthenticeerde aanvaller kan volledige Administrator toegang verkrijgen, waardoor gevoelige vaartuiggegevens kunnen worden gewijzigd en beperkte endpoints toegankelijk zijn. Deze kwetsbaarheid treft versies kleiner dan 2.24.0-beta.4. De kwetsbaarheid is verholpen in versie 2.24.0-beta.4.
CVE-2026-33950 in SignalK Server stelt niet-geauthenticeerde aanvallers in staat om een beheerdersaccount aan te maken. Dit komt doordat de route /skServer/enableSecurity actief blijft, zelfs nadat de initiële beveiligingsconfiguratie is voltooid. Oorspronkelijk ontworpen om de eigenaar in staat te stellen het initiële beheerdersaccount te configureren, wordt deze route nooit uitgeschakeld, waardoor iedereen met netwerktoegang een beheerdersaccount kan aanmaken en zo de SignalK-server volledig kan compromitteren. De CVSS-score van 9.4 duidt op een kritieke kwetsbaarheid, met een hoge potentiële impact op de vertrouwelijkheid, integriteit en beschikbaarheid van servergegevens en verbonden apparaten.
De kwetsbaarheid is uitbuitbaar via een eenvoudige HTTP-aanvraag naar de route /skServer/enableSecurity zonder authenticatie te vereisen. Een aanvaller kan tools zoals curl of Postman gebruiken om de benodigde gegevens te verzenden om een nieuw beheerdersaccount aan te maken. Omdat de route actief blijft, kan een aanvaller deze kwetsbaarheid op elk moment uitbuiten, zolang hij toegang heeft tot het netwerk waarop de SignalK-server draait. De eenvoudige uitbuitbaarheid en het hoge potentiële risico maken van deze kwetsbaarheid een aanzienlijke bedreiging voor SignalK Server-gebruikers.
SignalK server deployments that have not been upgraded past the vulnerable versions are at risk. This includes systems used in marine applications, IoT devices, and any environment where SignalK is used to collect and process data. Shared hosting environments running SignalK are particularly vulnerable due to the ease of access and potential for widespread impact.
• nodejs / server: Monitor server logs for requests to /skServer/enableSecurity after initial setup.
grep '/skServer/enableSecurity' /var/log/signalk/server.log• generic web: Use curl to attempt accessing /skServer/enableSecurity on SignalK servers. A successful response indicates a potential vulnerability.
curl http://<signalk_server_ip>/skServer/enableSecuritydisclosure
Exploit Status
EPSS
0.06% (20% percentiel)
CISA SSVC
CVSS-vector
De belangrijkste mitigatie is het upgraden naar SignalK Server versie 2.24.0-beta.4 of hoger. Deze versie lost de kwetsbaarheid op door de route /skServer/enableSecurity uit te schakelen nadat de initiële configuratie is voltooid. Als een onmiddellijke upgrade niet mogelijk is, wordt aanbevolen om de SignalK-server te isoleren op een veilig netwerk en de toegang te beperken tot vertrouwde gebruikers. Het monitoren van de server op ongebruikelijke activiteiten kan ook helpen bij het detecteren van exploitatiepogingen. Het zo snel mogelijk toepassen van de update is cruciaal om het risico op compromittering te minimaliseren.
Actualice Signal K Server a la versión 2.24.0-beta.4 o superior. Esta versión corrige la vulnerabilidad de escalada de privilegios que permite a atacantes no autenticados obtener acceso de administrador. La actualización impedirá la modificación no autorizada de datos de enrutamiento y configuraciones del servidor.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
SignalK Server is een navigatiegegevensserver die gegevens van verschillende sensoren en apparaten verzamelt en verwerkt.
Het stelt een aanvaller in staat om een beheerdersaccount aan te maken, waardoor hij volledige controle over de server en verbonden apparaten krijgt.
Isoleer de server op een veilig netwerk en monitor op ongebruikelijke activiteiten.
Controleer gebruikersaccounts en serverlogs op verdachte activiteiten.
Raadpleeg de beveiligingsdocumentatie van SignalK en de beveiligingswaarschuwingen van uw beveiligingsprovider.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.