JVNDB-2026-001029 | |
Signal KのSignal K Serverにおける代替パスまたはチャネルを使用した認証回避に関する脆弱性 | |
| 概要 | |
Signal K Serverは、ボートの中央ハブ上で動作するサーバーアプリケーションです。バージョン2.19.0より前のバージョンには、認証なしでJWT認証トークンを盗み出すために連鎖的に悪用できる2つの脆弱な機能が存在します。攻撃者は、「WebSocketベースのリクエスト列挙」と「未認証のアクセスリクエスト状態のポーリング」を組み合わせて攻撃を実行できます。一つ目の「未認証WebSocketリクエスト列挙」では、WebSocketクライアントが`serverevents=all`というクエリパラメータ付きでSignalKストリームエンドポイントに接続すると、サーバーは`ACCESS_REQUEST`イベントなどのキャッシュされた全サーバーイベントを送信します。`startServerEvents`関数は、`app.lastServerEvents`を繰り返し、権限レベルの検証をせずに全キャッシュイベントを接続中のクライアントに送信します。このため、WebSocket接続は読み取り専用ユーザー(`allow_readonly`がtrueの場合は未認証ユーザーも含まれます)にも許可され、攻撃者はリクエストID、クライアント識別子、説明、要求された権限、IPアドレスなどを含むこれらのイベントを受信できます。二つ目の「未認証トークンポーリング」では、`/signalk/v1/access/requests/:id`のアクセスリクエスト状態エンドポイントが認証不要でアクセスリクエストの全情報を返し、管理者がリクエストを承認すると、応答には発行されたJWTトークンが平文で含まれます。`queryRequest`関数はトークンフィールドを含む完全なリクエストオブジェクトを返し、RESTエンドポイントは読み取り専用認証を使用するため、認証されていないアクセスが可能です。攻撃者は、IPスプーフィングの脆弱性を利用して自身のアクセスリクエストを作成し、管理者が承認するまで自分のリクエストIDをポーリングしてJWTトークンを取得する、またはWebSocketストリームを監視して正規デバイスのリクエストIDを取得し、それらのIDをポーリングして管理者が承認したタイミングでJWTトークンを盗み、正規デバイスの認証情報を乗っ取ることができます。いずれも認証は一切不要で、完全な認証回避が可能です。バージョン2.19.0でこれらの根本的な問題を修正しました。 | |
| CVSS による深刻度 (CVSS とは?) | |
|
CVSS v3 による深刻度
基本値: 9.1 (緊急) [その他]
| |
| 影響を受けるシステム | |
|
| |
Signal K | |
本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。 | |
| 想定される影響 | |
当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 | |
| 対策 | |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 | |
| ベンダ情報 | |
GitHub | |
| CWEによる脆弱性タイプ一覧 CWEとは? | |
|
| |
| 共通脆弱性識別子(CVE) CVEとは? | |
|
| |
| 参考情報 | |
| |
| 更新履歴 | |
|
| 公表日 | 2026/01/01 |
| 登録日 | 2026/01/08 |
| 最終更新日 | 2026/01/08 |
