Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Un nuevo aviso de seguridad

Múltiples vulnerabilidades en Signal K Server

Fecha05/01/2026
Importancia5 - Crítica
Recursos Afectados

Signal K Server versiones anteriores a 2.19.0.

Descripción

atsc11, han reportado 2 vulnerabilidades críticas que, en caso de ser explotadas, un atacante no autenticado podría sobrescribir archivos críticos de configuración del servidor, ejecutar código remoto (RCE) así como obtener cualquier token JWT emitido por el servidor, entre otros.

Solución

Se recomienda actualizar la herramienta a la versión 2.19.0.

Detalle
  • CVE-2025-66398:  vulnerabilidad que se debe al uso de la variable global 'restoreFilePath' en 'rc/serverroutes.ts', la cual se comparte entre todas las solicitudes. Explotar esta vulnerabilidad podría permitir a un atacante ejecutar código remoto (RCE), robar cuentas o provocar denegaciones de servicio (DoS).
  • CVE-2025-68620: en caso de ser explotada, podría permitir a un atacante obtener cualquier token JWT emitido por el servidor sin autenticación mediante la realización de ingeniería social.  Al recibir el token de administrador se obtienen todos los privilegios otorgando acceso a todos los endpoints protegidos, omitiendo por completo la autenticación.