Ausencia de autenticación en PX4 Autopilot
- Autopilot v1.16.0.
Dolev Aviv, de Cyviation, ha reportado una vulnerabilidad de severidad crítica cuya explotación podría permitir a un atacante ejecutar comandos de shell arbitrarios sin autenticación criptográfica.
PX4 recomienda habilitar la firma de mensajes MAVLink 2.0 como mecanismo de autenticación para todos los enlaces de comunicación que no sean USB.
Por otra parte, PX4 ha publicado una guía de refuerzo de la seguridad dirigida a integradores y fabricantes que se puede consultar en las referencias.
CVE-2026-1579: el protocolo de comunicación MAVLink, por defecto, no requiere autenticación criptográfica. Cuando la firma de mensajes MAVLink 2.0 no está habilitada, un atacante no autenticado que tenga acceso a la interfaz MAVLink puede enviar cualquier mensaje. PX4 ofrece la firma de mensajes MAVLink 2.0 como mecanismo de autenticación criptográfica para todas las comunicaciones MAVLink. Cuando la firma está habilitada, los mensajes sin firmar se rechazan a nivel de protocolo.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-1579 | Crítica | No | PX4 |
