CVE-2026-34083 in signalk-server
Tóm tắt
Bởi VulDB • 25/05/2026
Signal K Server là một ứng dụng máy chủ chạy trên một hub trung tâm trong tàu. Trước phiên bản 2.24.0, Signal K Server chứa một lỗ hổng ở mức độ mã nguồn trong các trình xử lý đăng nhập và đăng xuất OIDC, nơi tiêu đề HTTP Host không được xác thực được sử dụng để xây dựng redirect_uri OAuth2. Vì cấu hình redirectUri mặc định bị unset (xóa bỏ) một cách im lặng, một kẻ tấn công có thể giả mạo tiêu đề Host để đánh cắp mã ủy quyền OAuth2 và chiếm quyền điều khiển phiên người dùng trong các triển khai thực tế, vì nhà cung cấp OIDC sau đó sẽ gửi mã ủy quyền đến bất kỳ tên miền nào đã bị tiêm vào. Lỗ hổng này đã được vá trong phiên bản 2.24.0.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.