Signal K Server is a server application that runs on a central hub in a boat. Prior to 1.5.0, a command injection vulnerability allows authenticated users with write permissions to execute arbitrary shell commands on the Signal K server when the set-system-time plugin is enabled. Unauthenticated users can also exploit this vulnerability if security is disabled on the Signal K server. This occurs due to unsafe construction of shell commands when processing navigation.datetime values received via WebSocket delta messages. This vulnerability is fixed in 1.5.0.
Signal K Server versions prior to 1.5.0 contain a critical command injection vulnerability in the set-system-time plugin that allows authenticated users with write permissions, or unauthenticated users if security is disabled, to execute arbitrary shell commands. The vulnerability stems from unsafe shell command construction when processing navigation.datetime values via WebSocket delta messages.
تمثل هذه الثغرة الأمنية خطراً حرجاً على أنظمة الملاحة البحرية التي تستخدم خادم Signal K، وهو تطبيق خادم يعمل على مركز مركزي في السفن والقوارب. تسمح الثغرة للمهاجمين بتنفيذ أوامر تعسفية على مستوى نظام التشغيل من خلال استغلال معالجة غير آمنة لقيم التاريخ والوقت المرسلة عبر بروتوكول WebSocket. يصبح الخطر أكثر حدة في الحالات التي يتم فيها تعطيل آليات الأمان على الخادم، حيث يمكن للمهاجمين غير المصادق عليهم استغلال الثغرة دون الحاجة إلى بيانات اعتماد. تؤثر هذه الثغرة بشكل خاص على القطاع البحري والموانئ في المملكة، حيث تعتمد العديد من السفن الحديثة على أنظمة الملاحة الرقمية. يتوفر استغلال عملي للثغرة مما يزيد من احتمالية الهجمات الفعلية، وقد تم إصدار تصحيح أمني في الإصدار 1.5.0 لمعالجة هذه المشكلة.
تم اكتشاف ثغرة حرجة في حقن الأوامر بدرجة خطورة 9.9 في خادم Signal K في الإصدارات السابقة للإصدار 1.5.0، مما يؤثر على أنظمة الملاحة البحرية. يمكن للمستخدمين المصادق عليهم الذين يمتلكون صلاحيات الكتابة، أو المستخدمين غير المصادق عليهم عند تعطيل الأمان، تنفيذ أوامر تعسفية على الخادم من خلال إضافة set-system-time. تنشأ الثغرة من البناء غير الآمن لأوامر النظام عند معالجة قيم navigation.datetime المستلمة عبر رسائل WebSocket، مما يسمح باختراق النظام بالكامل.
Immediately upgrade Signal K Server to version 1.5.0 or later, disable the set-system-time plugin if not required, and ensure security is enabled on all Signal K server instances.
قم بترقية خادم Signal K إلى الإصدار 1.5.0 أو أحدث فوراً وتعطيل إضافة set-system-time إذا لم تكن مطلوبة وتفعيل الأمان على جميع نسخ الخادم.