Carsten Lohmann

**Nome do software vulnerável e versões afetadas: Eclipse Hono (versões afetadas não especificadas) Descrição: Os adaptadores de protocolo AMQP e MQTT do Eclipse Hono não verificam se um dispositivo gateway autenticado está autorizado a receber mensagens de comando e controle quando ele está inscrito apenas para receber comandos destinados a um dispositivo específico. A verificação ausente envolve confirmar se o dispositivo de destino do comando está configurado para conceder permissão ao dispositivo gateway para agir em seu nome. Isso significa que um dispositivo autenticado de um determinado locatário, notadamente também um dispositivo que não seja gateway mas que atue como tal, pode receber mensagens de comando e controle destinadas a um dispositivo diferente do mesmo locatário sem que as permissões correspondentes sejam verificadas. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.