Plataforma
nodejs
Componente
signalk-server
Corrigido em
2.24.1
2.24.0-beta.4
CVE-2026-33950 é uma vulnerabilidade de escalada de privilégios no Signal K Server. Um atacante não autenticado pode obter acesso total de administrador, permitindo modificar dados sensíveis e configurações do servidor. Afeta versões anteriores à 2.24.0-beta.4. A vulnerabilidade foi corrigida na versão 2.24.0-beta.4.
A vulnerabilidade CVE-2026-33950 no SignalK Server permite que atacantes não autenticados criem uma conta de administrador. Isso ocorre porque a rota /skServer/enableSecurity permanece ativa mesmo após a configuração inicial de segurança. Originalmente projetada para permitir que o proprietário configure a conta de administrador inicial, esta rota nunca é desativada, permitindo que qualquer pessoa com acesso à rede crie uma conta de administrador, comprometendo completamente o servidor SignalK. A pontuação CVSS de 9.4 indica uma vulnerabilidade crítica, com alto potencial de impacto na confidencialidade, integridade e disponibilidade dos dados do servidor e dos dispositivos conectados.
A vulnerabilidade é explorável por meio de uma simples solicitação HTTP para a rota /skServer/enableSecurity sem a necessidade de autenticação. Um atacante pode usar ferramentas como curl ou Postman para enviar os dados necessários para criar uma nova conta de administrador. Como a rota permanece ativa, um atacante pode explorar esta vulnerabilidade a qualquer momento, desde que tenha acesso à rede onde o servidor SignalK está em execução. A facilidade de exploração e o alto potencial de impacto tornam esta vulnerabilidade uma ameaça significativa para os usuários do SignalK Server.
SignalK server deployments that have not been upgraded past the vulnerable versions are at risk. This includes systems used in marine applications, IoT devices, and any environment where SignalK is used to collect and process data. Shared hosting environments running SignalK are particularly vulnerable due to the ease of access and potential for widespread impact.
• nodejs / server: Monitor server logs for requests to /skServer/enableSecurity after initial setup.
grep '/skServer/enableSecurity' /var/log/signalk/server.log• generic web: Use curl to attempt accessing /skServer/enableSecurity on SignalK servers. A successful response indicates a potential vulnerability.
curl http://<signalk_server_ip>/skServer/enableSecuritydisclosure
Status do Exploit
EPSS
0.06% (percentil 20%)
CISA SSVC
Vetor CVSS
A principal mitigação é atualizar para o SignalK Server versão 2.24.0-beta.4 ou posterior. Esta versão corrige a vulnerabilidade desativando a rota /skServer/enableSecurity após a configuração inicial. Se uma atualização imediata não for possível, recomenda-se isolar o servidor SignalK em uma rede segura, restringindo o acesso apenas a usuários confiáveis. Monitorar o servidor em busca de atividade incomum também pode ajudar a detectar tentativas de exploração. Aplicar a atualização o mais rápido possível é crucial para minimizar o risco de comprometimento.
Actualice Signal K Server a la versión 2.24.0-beta.4 o superior. Esta versión corrige la vulnerabilidad de escalada de privilegios que permite a atacantes no autenticados obtener acceso de administrador. La actualización impedirá la modificación no autorizada de datos de enrutamiento y configuraciones del servidor.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
SignalK Server é um servidor de dados de navegação que coleta e processa dados de vários sensores e dispositivos.
Permite que um atacante crie uma conta de administrador, dando-lhe controle total sobre o servidor e os dispositivos conectados.
Isole o servidor em uma rede segura e monitore a atividade incomum.
Revise as contas de usuário e os logs do servidor em busca de atividade suspeita.
Consulte a documentação de segurança do SignalK e os alertas de segurança do seu provedor de segurança.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.