Eclipse · Eclipse Mosquitto · CVE-2024-8376
Nome do software vulnerável e versões afetadas:
Versões do Eclipse Mosquitto até a 2.0.18a
Descrição:
A vulnerabilidade permite que um invasor provoque vazamento de memória, falha de segmentação ou uso de memória após liberação (heap-use-after-free) ao enviar sequências específicas de pacotes, incluindo os pacotes “CONNECT”, “DISCONNECT”, “SUBSCRIBE”, ‘UNSUBSCRIBE’ e “PUBLISH”.
Recomendações:
Para as versões do Eclipse Mosquitto até 2.0.18a, considere restringir o tratamento dos pacotes “CONNECT”, “DISCONNECT”, “SUBSCRIBE”, “UNSUBSCRIBE” e “PUBLISH” até que um patch esteja disponível.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.