CVE-2026-34083 in signalk-serverthông tin

Tóm tắt

Bởi VulDB • 25/05/2026

Signal K Server là một ứng dụng máy chủ chạy trên một hub trung tâm trong tàu. Trước phiên bản 2.24.0, Signal K Server chứa một lỗ hổng ở mức độ mã nguồn trong các trình xử lý đăng nhập và đăng xuất OIDC, nơi tiêu đề HTTP Host không được xác thực được sử dụng để xây dựng redirect_uri OAuth2. Vì cấu hình redirectUri mặc định bị unset (xóa bỏ) một cách im lặng, một kẻ tấn công có thể giả mạo tiêu đề Host để đánh cắp mã ủy quyền OAuth2 và chiếm quyền điều khiển phiên người dùng trong các triển khai thực tế, vì nhà cung cấp OIDC sau đó sẽ gửi mã ủy quyền đến bất kỳ tên miền nào đã bị tiêm vào. Lỗ hổng này đã được vá trong phiên bản 2.24.0.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

25/03/2026

Tiết lộ

02/04/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00112

KEV

không

Các hoạt động

rất thấp

Nguồn

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!