CVE-2026-23515
CriticalSummary
Signal K Server to aplikacja serwerowa działająca jako centralny hub na łodzi. Przed wersją 1.5.0 istniała podatność na wstrzykiwanie poleceń, która pozwalała uwierzytelnionym użytkownikom z uprawnieniami do zapisu na wykonywanie dowolnych poleceń powłoki na serwerze Signal K, gdy wtyczka set-system-time była włączona.
Risk Assessment
Użytkownicy nieautoryzowani mogą również wykorzystać tę podatność, jeśli zabezpieczenia na serwerze Signal K są wyłączone, co stwarza poważne ryzyko dla integralności systemu.
Recommendation
Zaleca się aktualizację do wersji 1.5.0 lub nowszej, aby usunąć tę podatność oraz włączenie odpowiednich zabezpieczeń na serwerze.
Original NVD description (English source)
Signal K Server is a server application that runs on a central hub in a boat. Prior to 1.5.0, a command injection vulnerability allows authenticated users with write permissions to execute arbitrary shell commands on the Signal K server when the set-system-time plugin is enabled. Unauthenticated users can also exploit this vulnerability if security is disabled on the Signal K server. This occurs due to unsafe construction of shell commands when processing navigation.datetime values received via WebSocket delta messages. This vulnerability is fixed in 1.5.0.

