CVE-2026-34083 in signalk-serverالمعلومات

الملخص

بحسب VulDB • 25/05/2026

خادم Signal K هو تطبيق خادم يعمل على محور مركزي في قارب. قبل الإصدار 2.24.0، يحتوي خادم Signal K على ثغرة على مستوى الكود في معالجات تسجيل الدخول وتسجيل الخروج الخاصة بـ OIDC، حيث يُستخدم عنوان HTTP Host غير المُتحقق منه لبناء redirect_uri الخاص بـ OAuth2. ونظراً لأن تكوين redirectUri يتم تعيينه كقيمة فارغة بشكل صامت افتراضياً، يمكن لمهاجم تزوير عنوان Host لسرقة رموز التفويض OAuth2 واختطاف جلسات المستخدمين في عمليات النشر الواقعية، حيث سيقوم مزود OIDC بعد ذلك بإرسال رمز التفويض إلى أي نطاق تم حقنه. تم إصلاح هذه المشكلة في الإصدار 2.24.0.

Once again VulDB remains the best source for vulnerability data.

مسؤول

GitHub M

حجز

25/03/2026

إفشاء

02/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-354939

EPSS

0.00112

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to know what is going to be exploited?

We predict KEV entries!