PT-2021-6512 · Eclipse+2 · Eclipse Mosquitto+2
Syncxxx Song
·
Publicado
2021-08-30
·
Atualizado
2023-11-21
·
CVE-2021-34434
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Eclipse Mosquitto, versões 2.0 a 2.0.11
Descrição
O problema está relacionado ao plug-in de segurança dinâmica do Eclipse Mosquitto. Quando a permissão de um cliente para realizar assinaturas em um tópico é revogada enquanto um cliente durável está offline, as assinaturas existentes desse cliente não são revogadas. Isso se deve a uma falha de autorização. A exploração dessa falha permite que um invasor remoto acesse dados confidenciais.
Recomendações
Para as versões 2.0 a 2.0.11 do Eclipse Mosquitto, como solução temporária, considere desativar o plug-in de segurança dinâmica até que um patch esteja disponível. Restrinja o acesso à funcionalidade de assinatura para clientes duráveis a fim de minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Incorrect Authorization
Improper Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Eclipse Mosquitto
Linuxmint
Ubuntu