Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en Signal K Server

Fecha de publicación 05/01/2026
Identificador
INCIBE-2025-003
Importancia
5 - Crítica
Recursos Afectados

Signal K Server versiones anteriores a 2.19.0.

Descripción

atsc11, han reportado 2 vulnerabilidades críticas que, en caso de ser explotadas, un atacante no autenticado podría sobrescribir archivos críticos de configuración del servidor, ejecutar código remoto (RCE) así como obtener cualquier token JWT emitido por el servidor, entre otros.

Solución

Se recomienda actualizar la herramienta a la versión 2.19.0.

Detalle
  • CVE-2025-66398:  vulnerabilidad que se debe al uso de la variable global 'restoreFilePath' en 'rc/serverroutes.ts', la cual se comparte entre todas las solicitudes. Explotar esta vulnerabilidad podría permitir a un atacante ejecutar código remoto (RCE), robar cuentas o provocar denegaciones de servicio (DoS).
  • CVE-2025-68620: en caso de ser explotada, podría permitir a un atacante obtener cualquier token JWT emitido por el servidor sin autenticación mediante la realización de ingeniería social.  Al recibir el token de administrador se obtienen todos los privilegios otorgando acceso a todos los endpoints protegidos, omitiendo por completo la autenticación.
CVE
Explotación
No
Nuevo Fabricante
Signal K Server
Identificador CVE
CVE-2025-66398
Severidad
Crítica
Explotación
No
Nuevo Fabricante
Signal K Server
Identificador CVE
CVE-2025-68620
Severidad
Crítica
Listado de referencias
Signal K Server has Unauthenticated State Pollution leading to Remote Code Execution (RCE)
Signal K Server vulnerable to JWT Token Theft via WebSocket Enumeration and Unauthenticated Polling
Etiquetas