关键漏洞信息 漏洞概述 类型: RCE - Command Injection 受影响的包: @signalk/set-system-time (npm) 受影响版本: =1.5.0 严重性 CVSS v3 基准值: 10.0 / 10 CVE ID: CVE-2026-23515 漏洞类型: CWE-78 漏洞细节 产物: Signal K set-system-time 插件 仓库: https://github.com/SignalK/set-system-time 文件: 组件: 1. 未验证的输入: 值未验证直接插入命令 2. shell 执行: 使用 解释特殊字符 3. sudo 特权: 可能以 root 权限执行 证明漏洞 (PoC) 要求: - Signal K 服务器安全功能打开,或禁用认证 - 有 或 权限的用户凭证 - 插件安装且启 - 服务器在 Linux 系统上 - 无密码 sudo 配置 载荷: 创建 文件来验证代码执行 影响 攻击者可用写权限执行命令,可能完全控制系统 推荐修复 用 替换 shell 执行方式 核查 是否符合 ISO-8601 格式