PT-2020-13704 · Hivemq · Hivemq Broker Control Center
Arun Magesh
·
Publicado
2020-08-26
·
Atualizado
2020-12-23
·
CVE-2020-13821
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
HiveMQ Broker Control Center versão 4.3.2
Descrição
Foi descoberta uma falha em que um parâmetro
clientid malicioso em um pacote MQTT enviado ao Broker é refletido na seção do cliente do console de gerenciamento. Essa reflexão pode levar ao carregamento de um JavaScript do invasor em um navegador, resultando potencialmente no roubo da sessão e do cookie da conta de administrador do Broker.Recomendações
Para o HiveMQ Broker Control Center versão 4.3.2, considere restringir o acesso ao console de gerenciamento para minimizar o risco de exploração. Como solução temporária, evite usar o parâmetro
clientid em pacotes MQTT até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Hivemq Broker Control Center