Múltiples vulnerabilidades en Signal K Server
Signal K Server versiones anteriores a 2.19.0.
atsc11, han reportado 2 vulnerabilidades críticas que, en caso de ser explotadas, un atacante no autenticado podría sobrescribir archivos críticos de configuración del servidor, ejecutar código remoto (RCE) así como obtener cualquier token JWT emitido por el servidor, entre otros.
Se recomienda actualizar la herramienta a la versión 2.19.0.
- CVE-2025-66398: vulnerabilidad que se debe al uso de la variable global ‘restoreFilePath’ en ‘rc/serverroutes.ts’, la cual se comparte entre todas las solicitudes. Explotar esta vulnerabilidad podría permitir a un atacante ejecutar código remoto (RCE), robar cuentas o provocar denegaciones de servicio (DoS).
- CVE-2025-68620: en caso de ser explotada, podría permitir a un atacante obtener cualquier token JWT emitido por el servidor sin autenticación mediante la realización de ingeniería social. Al recibir el token de administrador se obtienen todos los privilegios otorgando acceso a todos los endpoints protegidos, omitiendo por completo la autenticación.
Fuente: link
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.
TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.