PT-2021-6465 · Eclipse+1 · Eclipse Mosquitto+1

Bryan Pearson

·

Publicado

2021-06-10

·

Atualizado

2025-03-10

·

CVE-2021-34432

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
Eclipse Mosquitto versões 2.07 e anteriores
Descrição
O problema está relacionado ao tratamento incorreto de um pacote PUBLISH com comprimento de tópico igual a 0, o que pode causar a falha do servidor. Isso pode ser explorado por um invasor remoto para interromper o serviço. A variável topic length é crucial neste contexto, pois defini-la como 0 provoca a falha.
Recomendações
Para as versões 2.07 e anteriores do Eclipse Mosquitto, como solução temporária, considere restringir o tratamento de pacotes PUBLISH com um topic length de 0 até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Exploit

Improper Resource Release

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-404CWE-20

Identificadores relacionados

ALT-PU-2023-4418
ALT-PU-2024-12359
ALT-PU-2025-3746
BDU:2022-01688
CVE-2021-34432
OESA-2022-1564
OESA-2022-2053

Produtos afetados

Alt Linux
Eclipse Mosquitto