Katalog CVE

CVE-2026-23515

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Signal K Server to aplikacja serwerowa działająca jako centralny hub na łodzi. Przed wersją 1.5.0 istniała podatność na wstrzykiwanie poleceń, która pozwalała uwierzytelnionym użytkownikom z uprawnieniami do zapisu na wykonywanie dowolnych poleceń powłoki na serwerze Signal K, gdy wtyczka set-system-time była włączona.

Ocena ryzyka

Użytkownicy nieautoryzowani mogą również wykorzystać tę podatność, jeśli zabezpieczenia na serwerze Signal K są wyłączone, co stwarza poważne ryzyko dla integralności systemu.

Rekomendacja

Zaleca się aktualizację do wersji 1.5.0 lub nowszej, aby usunąć tę podatność oraz włączenie odpowiednich zabezpieczeń na serwerze.

Oryginalny opis (angielski, źródło NVD)

Signal K Server is a server application that runs on a central hub in a boat. Prior to 1.5.0, a command injection vulnerability allows authenticated users with write permissions to execute arbitrary shell commands on the Signal K server when the set-system-time plugin is enabled. Unauthenticated users can also exploit this vulnerability if security is disabled on the Signal K server. This occurs due to unsafe construction of shell commands when processing navigation.datetime values received via WebSocket delta messages. This vulnerability is fixed in 1.5.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS