发布日期：2026-02-02
更新日期：2026-04-13

受影响系统：

Signal K Signal K Server < 2.20.3

描述：

---

CVE(CAN) ID: CVE-2026-25228

Signal K Server是Signal K开源的一个船用中央服务器。
Signal K Server 2.20.3之前版本存在路径遍历漏洞，该漏洞源于validateAppId()函数仅过滤了正斜杠但未过滤反斜杠，而Windows系统中path.join()会将反斜杠视为目录分隔符,攻击者可利用该漏洞构造包含反斜杠的路径参数，逃逸预期的applicationData目录，以已认证用户的权限对任意文件和目录进行读取、写入和列表操作导致敏感信息泄露。

<*链接：https://github.com/SignalK/signalk-server/security/advisories/GHSA-vrhw-v2hw-jffx
*>

建议：

---

厂商补丁：

Signal K
--------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/SignalK/signalk-server/commit/9bcf61c8fe2cb8a40998b913a02fb64dff9e86c7

浏览次数：46
严重程度：0（网友投票）