Kathrin Kleinhammer

**Nome do software vulnerável e versões afetadas** Eclipse Mosquitto, versões 1.6 a 2.0.10 **Descrição** O problema está relacionado ao tratamento incorreto de um pacote CONNECT sem tópico “will” nem mensagem “will” quando os sinalizadores “will” e “will property” estão presentes. Isso pode ser explorado por um invasor remoto para causar uma negação de serviço. Especificamente, se um cliente autenticado que se conectou com MQTT v5 enviar uma mensagem CONNECT maliciosa ao broker, ocorrerá um vazamento de memória, que poderia ser usado para realizar um ataque DoS contra o broker. **Recomendações** Para as versões 1.6 a 2.0.10 do Eclipse Mosquitto, considere atualizar para uma versão que corrija o problema de vazamento de memória para evitar possíveis ataques DoS. Como solução temporária, restrinja o acesso à mensagem CONNECT do MQTT v5 para minimizar o risco de exploração. Evite usar mensagens CONNECT manipuladas que possam desencadear o vazamento de memória até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.