الثغرات ›

CVE-2026-33951

مرتفع

CWE-284 — نوع الضعف

                    نُشر: Apr 2, 2026                      ·  آخر تحديث: Apr 9, 2026                      ·  المصدر: NVD                

CVSS v3

7.5

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Signal K Server is a server application that runs on a central hub in a boat. Prior to version 2.24.0-beta.1, the SignalK Server exposes an unauthenticated HTTP endpoint that allows remote attackers to modify navigation data source priorities. This endpoint, accessible via PUT /signalk/v1/api/sourcePriorities, does not enforce authentication or authorization checks and directly assigns user-controlled input to the server configuration. As a result, attackers can influence which GPS, AIS, or other sensor data sources are trusted by the system. The changes are immediately applied and persisted to disk, allowing the manipulation to survive server restarts. This issue has been patched in version 2.24.0-beta.1.

🤖 ملخص AI

Signal K Server versions prior to 2.24.0-beta.1 contain an unauthenticated endpoint that allows remote attackers to manipulate navigation data source priorities, potentially compromising maritime navigation integrity. This vulnerability affects maritime vessels and port operations that rely on Signal K for sensor data management. While no public exploit exists, the vulnerability is trivial to exploit and could lead to navigation system spoofing or denial of service.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 3, 2026 07:32

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Arabia's maritime sector, including ports managed by Saudi Ports Authority (SPA) and commercial shipping operations, faces direct risk from this vulnerability. The Kingdom's critical infrastructure at major ports (Jeddah Islamic Port, King Abdulaziz Port in Dammam, Yanbu Port) could be affected if Signal K Server is deployed for vessel traffic management or port operations. Additionally, Saudi naval and coast guard systems utilizing Signal K for maritime domain awareness could be compromised. The vulnerability could enable navigation spoofing attacks affecting vessel routing and port security.

🏢 القطاعات السعودية المتأثرة

Maritime and Shipping Port Operations Naval and Coast Guard Critical Infrastructure (Port Security) Vessel Traffic Management

🎯 تقنيات MITRE ATT&CK

T1190 - Exploit Public-Facing Application (unauthenticated HTTP endpoint) T1199 - Trusted Relationship (manipulation of trusted sensor data sources) T1491 - Defacement (modification of navigation system configuration) T1561 - Disk Wipe (potential for persistent configuration manipulation) T1657 - Financial Theft (potential impact on maritime commerce routing)

⚖️ درجة المخاطر السعودية (AI)

7.2

/ 10.0

🔧 Remediation Steps (English)

IMMEDIATE ACTIONS:

1. Identify all Signal K Server instances in your maritime infrastructure using network scanning and asset inventory tools

2. Implement network segmentation to restrict access to the /signalk/v1/api/sourcePriorities endpoint to trusted networks only

3. Deploy a Web Application Firewall (WAF) rule to block PUT requests to /signalk/v1/api/sourcePriorities from untrusted sources

4. Monitor access logs for any suspicious PUT requests to this endpoint

PATCHING GUIDANCE:

1. Upgrade to Signal K Server version 2.24.0-beta.1 or later when released as stable

2. Test patches in a non-production maritime environment first to ensure navigation system stability

3. Schedule patching during maintenance windows to minimize operational disruption

COMPENSATING CONTROLS (if patching delayed):

1. Implement reverse proxy authentication (nginx/Apache) requiring credentials for all /signalk/v1/api endpoints

2. Restrict Signal K Server to internal networks only; use VPN for remote access

3. Disable the sourcePriorities API endpoint if not required for operations

4. Implement read-only mode for navigation data sources where possible

DETECTION RULES:

1. Alert on any PUT requests to /signalk/v1/api/sourcePriorities from external IP addresses

2. Monitor Signal K Server configuration files for unauthorized modifications to source priority settings

3. Log and alert on changes to navigation data source priorities outside of scheduled maintenance windows

4. Implement integrity monitoring on Signal K configuration files stored on disk

🔧 خطوات المعالجة (العربية)

الإجراءات الفورية:

1. تحديد جميع نسخ Signal K Server في البنية التحتية البحرية الخاصة بك باستخدام أدوات المسح الشبكي وجرد الأصول

2. تنفيذ تقسيم الشبكة لتقييد الوصول إلى نقطة النهاية /signalk/v1/api/sourcePriorities إلى الشبكات الموثوقة فقط

3. نشر قاعدة جدار حماية تطبيقات الويب (WAF) لحظر طلبات PUT إلى /signalk/v1/api/sourcePriorities من مصادر غير موثوقة

4. مراقبة سجلات الوصول للكشف عن أي طلبات PUT مريبة إلى هذه النقطة

إرشادات التصحيح:

1. الترقية إلى Signal K Server الإصدار 2.24.0-beta.1 أو أحدث عند إصداره كإصدار مستقر

2. اختبار التصحيحات في بيئة بحرية غير إنتاجية أولاً للتأكد من استقرار نظام الملاحة

3. جدولة التصحيحات خلال نوافذ الصيانة لتقليل تعطل العمليات

الضوابط البديلة (إذا تأخر التصحيح):

1. تنفيذ مصادقة الخادم الوكيل العكسي (nginx/Apache) التي تتطلب بيانات اعتماد لجميع نقاط نهاية /signalk/v1/api

2. تقييد Signal K Server للشبكات الداخلية فقط؛ استخدم VPN للوصول البعيد

3. تعطيل نقطة نهاية API sourcePriorities إذا لم تكن مطلوبة للعمليات

4. تنفيذ الوضع المقروء فقط لمصادر بيانات الملاحة حيث أمكن

قواعد الكشف:

1. التنبيه على أي طلبات PUT إلى /signalk/v1/api/sourcePriorities من عناوين IP خارجية

2. مراقبة ملفات تكوين Signal K Server للتعديلات غير المصرح بها على إعدادات أولويات المصدر

3. تسجيل والتنبيه على التغييرات في أولويات مصادر بيانات الملاحة خارج نوافذ الصيانة المجدولة

4. تنفيذ مراقبة السلامة على ملفات تكوين Signal K المخزنة على القرص

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

ECC 2024 A.5.1.1 - Access Control Policy (unauthenticated endpoint violates access control requirements) ECC 2024 A.5.2.1 - User Registration and Access Management (missing authentication enforcement) ECC 2024 A.5.3.1 - Management of Privileged Access Rights (configuration modification without authorization) ECC 2024 A.8.2.1 - User Access Management (no authentication/authorization checks)

🔵 SAMA CSF

SAMA CSF ID.AM-1 - Asset Management (inventory and control of Signal K Server instances) SAMA CSF PR.AC-1 - Access Control Policy (authentication and authorization enforcement) SAMA CSF PR.AC-3 - Access Enforcement (unauthenticated endpoint violates principle of least privilege) SAMA CSF DE.CM-1 - Detection Processes (monitoring for unauthorized configuration changes)

🟡 ISO 27001:2022

ISO 27001:2022 A.5.3 - Segregation of duties (configuration changes require authorization) ISO 27001:2022 A.8.2 - User access management (authentication and authorization controls) ISO 27001:2022 A.8.3 - User responsibilities (access control enforcement) ISO 27001:2022 A.9.2 - User access provisioning (no unauthenticated access to critical functions)

🔗 المراجع والمصادر 2

🔗

https://github.com/SignalK/signalk-server/releases/tag/v2.24.0-beta.1

security-advisories@github.com

Product Release Notes

🔗

https://github.com/SignalK/signalk-server/security/advisories/GHSA-gfmv-vh34-h2x5

security-advisories@github.com

Vendor Advisory

📦 المنتجات المتأثرة 1 منتج

signalk:signal_k_server

📊 CVSS Score

7.5

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityN — None / Network

IntegrityH — High

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.5

CWECWE-284

EPSS0.29%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-04-02

المصدر nvd

المشاهدات 5

🇸🇦 درجة المخاطر السعودية

7.2

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-284

🏢 توجيهات البائع

🔗 https://github.com/SignalK/signalk-server/security/a...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2026-33951

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب