CVE-2026-41893 in signalk-serverinformação

Sumário

de VulDB • 10/05/2026

O Signal K Server é um aplicativo de servidor que executa em um hub central em um barco. Antes da versão 2.25.0, os endpoints de login HTTP (POST /login e POST /signalk/v1/auth/login) são protegidos pelo express-rate-limit (padrão: 100 tentativas por janela de 10 minutos, configurável via HTTP_RATE_LIMITS). O caminho de login via WebSocket — enviando mensagens {login: {username, password}} sobre uma conexão WebSocket estabelecida — chama app.securityStrategy.login() diretamente, sem qualquer limitação de taxa. Um atacante pode contornar totalmente a limitação de taxa HTTP abrindo uma conexão WebSocket e tentando um número ilimitado de palpites de senha na velocidade permitida pelo bcrypt (~20 tentativas/segundo com 10 rodadas de sal). Este problema foi corrigido na versão 2.25.0.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

22/04/2026

Divulgação

09/05/2026

Moderação

aceite

Entrada

VDB-362463

CPE

pronto

EPSS

0.00036

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-41893
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-41893
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-41893/

VoltarVisão GeralPróximo

Want to stay up to date on a daily basis?

Enable the mail alert feature now!