Ένα θέμα ευπάθειας (CVE-2026-1579) εντοπίστηκε στο PX4, μια στοίβα αυτόματου πιλότου ανοιχτού κώδικα για drones και αυτόνομα οχήματα, που επιτρέπει την εκτέλεση αυθαίρετων εντολών κελύφους στη συσκευή χωρίς κρυπτογραφικό έλεγχο ταυτότητας κατά την πρόσβαση στη διεπαφή MAVLink. Το ζήτημα έχει αξιολογηθεί ως κρίσιμο (9.8 στα 10).
Η ευπάθεια προκαλείται από το πρωτόκολλο MAVLink που δεν χρησιμοποιεί κρυπτογραφικό έλεγχο ταυτότητας από προεπιλογή, επιτρέποντας την αποστολή μηνυμάτων σε μη εξουσιοδοτημένα μέρη. Μεταξύ άλλων, ένας εισβολέας μπορεί να στείλει ένα μήνυμα "SERIAL_CONTROL", το οποίο παρέχει πρόσβαση στην εκτέλεση κώδικα σε ένα διαδραστικό κέλυφος εντολών. Ως λύση, συνιστάται η ενεργοποίηση των ψηφιακών υπογραφών για τα μηνύματα MAVLink για όλα τα κανάλια επικοινωνίας εκτός από τις συνδέσεις USB.
Πηγή: opennet.ru
