Qingpeng Du

**Nome do software vulnerável e versões afetadas** Eclipse Mosquitto, versões 1.3.2 a 2.0.18 **Descrição** O problema está relacionado a um estouro de buffer na memória dinâmica. Se um broker malicioso enviar um pacote SUBACK manipulado sem códigos de motivo, um cliente que utilize a libmosquitto poderá realizar um acesso fora dos limites da memória ao executar sua chamada de retorno on subscribe. Isso afeta os clientes mosquitto sub e mosquitto rr. Um invasor remoto pode explorar essa vulnerabilidade para obter acesso a informações confidenciais. **Recomendações** Para as versões 1.3.2 a 2.0.18 do Eclipse Mosquitto, considere atualizar para uma versão que contenha uma correção para este problema, a fim de evitar o acesso à memória fora dos limites. Como solução alternativa temporária, considere restringir o uso da função de callback on subscribe na libmosquitto até que um patch esteja disponível. Evite usar os clientes mosquitto sub e mosquitto rr com brokers não confiáveis até que o problema seja resolvido.