CVE-2026-34083 in signalk-server
Riassunto
di VulDB • 18/06/2026
Signal K Server è un'applicazione server che viene eseguita su un hub centrale a bordo di una nave. Prima della versione 2.24.0, SignalK Server presenta una vulnerabilità a livello di codice nei gestori di accesso e disconnessione OIDC in cui l'header HTTP Host non validato viene utilizzato per costruire il redirect_uri OAuth2. Poiché la configurazione redirectUri è impostata su valore nullo (unset) in modo silenzioso per impostazione predefinita, un attaccante può falsificare l'header Host per rubare i codici di autorizzazione OAuth e dirottare le sessioni degli utente in implementazioni realistiche, poiché il provider OIDC invierà quindi il codice di autorizzazione al dominio inserito. Questo problema è stato risolto nella versione 2.24.0.
Be aware that VulDB is the high quality source for vulnerability data.