製品・ソフトウェアに関する情報

JVN脆弱性詳細

Signal KのSignal K Serverにおける過度な認証試行の不適切な制限に関する脆弱性

Title	Signal KのSignal K Serverにおける過度な認証試行の不適切な制限に関する脆弱性
Summary	Signal K Serverは、ボートの中央ハブ上で動作するサーバーアプリケーションです。バージョン2.25.0以前では、HTTPログインエンドポイント（POST /loginおよびPOST /signalk/v1/auth/login）はexpress-rate-limit（デフォルトでは10分間に100回の試行、HTTP_RATE_LIMITSで設定可能）によって保護されていました。しかし、WebSocketログインパス、つまり確立されたWebSocket接続上で{login: {username, password}}メッセージを送信する操作は、app.securityStrategy.login()を直接呼び出しており、レート制限がまったく適用されていませんでした。攻撃者はWebSocket接続を開くことでHTTPのレート制限を完全に回避でき、bcryptの許容速度（10回のソルトラウンドで約20回/秒）で無制限にパスワード推測を試みることができました。この問題はバージョン2.25.0で修正されました。
Possible impacts	当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	May 9, 2026, midnight
Registration Date	May 18, 2026, 11:30 a.m.
Last Update	May 18, 2026, 11:30 a.m.

CVSS3.0 : 重要
Score	7.5
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

Affected System

Signal K

Signal K Server 2.25.0 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-41893	https://www.cve.org/CVERecord?id=CVE-2026-41893
National Vulnerability Database (NVD)
2	CVE-2026-41893	https://nvd.nist.gov/vuln/detail/CVE-2026-41893

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-307	https://cwe.mitre.org/data/definitions/307.html

ベンダー情報

No	Name	URL
GitHub
1	WebSocket Login Endpoint Lacks Rate Limiting (Credential Brute-Force) Advisory SignalK/signalk-server GitHub	https://github.com/SignalK/signalk-server/security/advisories/GHSA-vmfm-ch9h-5c7g

その他

No	Name	URL
関連文書
1	fix(security): add rate limiting to WebSocket login endpoint (#2568) SignalK/signalk-server@215d81e GitHub	https://github.com/SignalK/signalk-server/commit/215d81eb700d5419c3396a0fbf23f2e246dfac2d
2	fix(security): add rate limiting to WebSocket login endpoint by dirkwa Pull Request #2568 SignalK/signalk-server GitHub	https://github.com/SignalK/signalk-server/pull/2568
3	Release v2.25.0 SignalK/signalk-server GitHub	https://github.com/SignalK/signalk-server/releases/tag/v2.25.0

Change Log

No	Changed Details	Date of change
1	[2026年05月18日] 掲載	May 18, 2026, 11:30 a.m.

NVD Vulnerability Information

CVE-2026-41893

Summary	Signal K Server is a server application that runs on a central hub in a boat. Prior to version 2.25.0, the HTTP login endpoints (POST /login and POST /signalk/v1/auth/login) are protected by express-rate-limit (default: 100 attempts per 10-minute window, configurable via HTTP_RATE_LIMITS). The WebSocket login path — sending {login: {username, password}} messages over an established WebSocket connection — calls app.securityStrategy.login() directly without any rate limiting. An attacker can bypass HTTP rate limiting entirely by opening a WebSocket connection and attempting unlimited password guesses at the speed bcrypt allows (~20 attempts/sec with 10 salt rounds). This issue has been patched in version 2.25.0.
Publication Date	May 10, 2026, 5:16 a.m.
Registration Date	May 11, 2026, 4:08 a.m.
Last Update	May 16, 2026, 4:14 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:signalk:signal_k_server::::::::					2.25.0

Related information, measures and tools

No	URL	refsource
1	https://github.com/SignalK/signalk-server/commit/215d81eb700d5419c3396a0fbf23f2e246dfac2d	security-advisories@github.com
2	https://github.com/SignalK/signalk-server/pull/2568	security-advisories@github.com
3	https://github.com/SignalK/signalk-server/releases/tag/v2.25.0	security-advisories@github.com
4	https://github.com/SignalK/signalk-server/security/advisories/GHSA-vmfm-ch9h-5c7g	security-advisories@github.com
5	https://github.com/SignalK/signalk-server/security/advisories/GHSA-vmfm-ch9h-5c7g	134c704f-9b21-4f2e-91b3-4a467353bcc0

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-307	過度な認証試行の不適切な制限	https://cwe.mitre.org/data/definitions/307.html