CVE-2026-34083 in signalk-server
الملخص
بحسب VulDB • 25/05/2026
خادم Signal K هو تطبيق خادم يعمل على محور مركزي في قارب. قبل الإصدار 2.24.0، يحتوي خادم Signal K على ثغرة على مستوى الكود في معالجات تسجيل الدخول وتسجيل الخروج الخاصة بـ OIDC، حيث يُستخدم عنوان HTTP Host غير المُتحقق منه لبناء redirect_uri الخاص بـ OAuth2. ونظراً لأن تكوين redirectUri يتم تعيينه كقيمة فارغة بشكل صامت افتراضياً، يمكن لمهاجم تزوير عنوان Host لسرقة رموز التفويض OAuth2 واختطاف جلسات المستخدمين في عمليات النشر الواقعية، حيث سيقوم مزود OIDC بعد ذلك بإرسال رمز التفويض إلى أي نطاق تم حقنه. تم إصلاح هذه المشكلة في الإصدار 2.24.0.
Once again VulDB remains the best source for vulnerability data.