PX4-ում, որը անօդաչու թռչող սարքերի և ինքնավար տրանսպորտային միջոցների համար նախատեսված բաց կոդով ավտոպիլոտային փաթեթ է, հայտնաբերվել է խոցելիություն (CVE-2026-1579), որը թույլ է տալիս MAVLink ինտերֆեյսին մուտք գործելիս սարքի վրա կատարել կամայական shell հրամաններ առանց կրիպտոգրաֆիկ նույնականացման: Խնդիրը գնահատվել է որպես կրիտիկական (9.8-ից 10):
Խոցելիությունը պայմանավորված է նրանով, որ MAVLink արձանագրությունը լռելյայնորեն չի օգտագործում կրիպտոգրաֆիկ նույնականացում, ինչը թույլ է տալիս ցանկացած հաղորդագրություն ուղարկել չարտոնված կողմերին: Ի թիվս այլ բաների, հարձակվողը կարող է ուղարկել «SERIAL_CONTROL» հաղորդագրություն, որը թույլ է տալիս մուտք գործել կոդի կատարմանը ինտերակտիվ հրամանների թաղանթում: Որպես շրջանցիկ լուծում, խորհուրդ է տրվում միացնել թվային ստորագրությունները MAVLink հաղորդագրությունների համար բոլոր հաղորդակցման ալիքների համար, բացի USB միացումներից:
Source: opennet.ru
