„PX4“, atvirojo kodo autopiloto pakete, skirtame dronams ir autonominėms transporto priemonėms, nustatyta spraga (CVE-2026-1579), leidžianti įrenginyje vykdyti savavališkas apvalkalo komandas be kriptografinio autentifikavimo, kai jungiamasi prie „MAVLink“ sąsajos. Problema įvertinta kaip kritinė (9.8 iš 10).
Pažeidžiamumą sukelia tai, kad „MAVLink“ protokolas pagal numatytuosius nustatymus nenaudoja kriptografinio autentifikavimo, todėl bet kokie pranešimai gali būti siunčiami neįgaliotoms šalims. Be kita ko, užpuolikas gali išsiųsti pranešimą „SERIAL_CONTROL“, kuris suteikia prieigą prie kodo vykdymo interaktyvioje komandų aplinkoje. Kaip problemos sprendimo būdas rekomenduojama įjungti skaitmeninius parašus „MAVLink“ pranešimams visuose ryšio kanaluose, išskyrus USB jungtis.
Šaltinis: opennet.ru
