CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-23515

Critical
Published: Translated: NVD NIST

Summary

Signal K Server to aplikacja serwerowa działająca jako centralny hub na łodzi. Przed wersją 1.5.0 istniała podatność na wstrzykiwanie poleceń, która pozwalała uwierzytelnionym użytkownikom z uprawnieniami do zapisu na wykonywanie dowolnych poleceń powłoki na serwerze Signal K, gdy wtyczka set-system-time była włączona.

Risk Assessment

Użytkownicy nieautoryzowani mogą również wykorzystać tę podatność, jeśli zabezpieczenia na serwerze Signal K są wyłączone, co stwarza poważne ryzyko dla integralności systemu.

Recommendation

Zaleca się aktualizację do wersji 1.5.0 lub nowszej, aby usunąć tę podatność oraz włączenie odpowiednich zabezpieczeń na serwerze.

Original NVD description (English source)

Signal K Server is a server application that runs on a central hub in a boat. Prior to 1.5.0, a command injection vulnerability allows authenticated users with write permissions to execute arbitrary shell commands on the Signal K server when the set-system-time plugin is enabled. Unauthenticated users can also exploit this vulnerability if security is disabled on the Signal K server. This occurs due to unsafe construction of shell commands when processing navigation.datetime values received via WebSocket delta messages. This vulnerability is fixed in 1.5.0.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS