用户希望我总结网页截图中的漏洞信息。 我需要提取以下关键信息: 1. 漏洞概述 (Summary): 从 "Summary" 部分提取。 2. 影响范围 (Affected Component/Package): 从 "Affected Component" 和 "Package" 部分提取。 3. 修复方案 (Patched versions): 从 "Patched versions" 部分提取。 4. POC/利用代码: 从 "Vulnerable Code" 部分提取。 详细提取过程: 标题: Unauthenticated Source Priorities Manipulation Package: signalx-server (npm) Affected versions: All versions prior to v2.24.0-beta.1 Patched versions: v2.24.0-beta.1 Severity: Moderate (中等) Summary: SignalX Server 存在未认证的 HTTP 端点,允许远程攻击者修改导航源数据优先级。该端点无需身份验证即可访问,且未执行身份验证或授权检查。攻击者可以修改并直接控制发送到服务器的配置。这允许攻击者影响哪些 GPS、AOL 或其他传感器数据源被系统使用。更改是持久化的,并允许攻击者操纵服务器重启。 Affected Component: File: src/server/routes.ts Endpoint: POST /signalx/api/sourcepriorities (also accessible as /:id/server/sourcepriorities) Lines: 1084-1070 (注意:截图里写的是 1084-1070,可能是笔误,通常是 1070-1084,但我照抄截图内容) Function: Source priorities configuration handler Vulnerable Code: Vulnerability Characteristics: Missing Authentication: 端点没有身份验证中间件。 Direct Configuration Assignment: 用户提供的请求体直接分配给应用配置。 Persistent Storage: 配置写入 ,重启后生效。 No Input Validation: 没有对 JSON 结构、类型或字段进行验证。 Impact: 导航源数据操纵。攻击者可以修改源优先级,改变现有活动源的数据。 组织语言 (中文): 漏洞概述: SignalX Server 存在未认证的 HTTP 端点,允许远程攻击者修改导航源数据优先级。该端点无需身份验证即可访问,且未执行身份验证或授权检查。攻击者可以修改并直接控制发送到服务器的配置。这允许攻击者影响哪些 GPS、AOL 或其他传感器数据源被系统使用。更改是持久化的,并允许攻击者操纵服务器重启。 影响范围: 包名: signalx-server (npm) 受影响版本: v2.24.0-beta.1 之前的所有版本 受影响组件: 中的 端点。 修复方案: 升级到 v2.24.0-beta.1 或更高版本。 POC/利用代码: (提取上面的代码块) 检查一遍,确保没有遗漏重要信息,且符合用户要求的格式。 漏洞概述 SignalX Server 存在未认证的 HTTP 端点,允许远程攻击者修改导航源数据优先级。该端点无需身份验证即可访问,且未执行身份验证或授权检查。攻击者可以修改并直接控制发送到服务器的配置。这允许攻击者影响哪些 GPS、AOL 或其他传感器数据源被系统使用。更改是持久化的,并允许攻击者操纵服务器重启。 影响范围 包名: signalx-server (npm) 受影响版本: v2.24.0-beta.1 之前的所有版本 受影响组件: 文件: 端点: (也可通过 访问) 行号: 1084-1070 函数: Source priorities configuration handler 修复方案 已修复版本:** v2.24.0-beta.1 漏洞代码 (Vulnerable Code)