PT-2021-7060 · Eclipse+3 · Eclipse Mosquitto+3
Bin Yuan
+5
·
Publicado
2021-08-09
·
Atualizado
2025-03-10
·
CVE-2021-41039
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
Eclipse Mosquitto, versões 1.6 a 2.0.11
Descrição
O problema está relacionado à implementação do protocolo MQTT v5 no Eclipse Mosquitto, o que pode causar uso excessivo da CPU. Isso pode ser explorado por um invasor remoto para causar uma negação de serviço. O problema ocorre quando um cliente MQTT v5 se conecta com um grande número de propriedades
user-property.Recomendações
Para as versões 1.6 a 2.0.11 do Eclipse Mosquitto, considere restringir o número de propriedades
user-property que podem ser enviadas por um cliente MQTT v5 para evitar o uso excessivo da CPU. Como solução temporária, restrinja o acesso ao protocolo MQTT v5 até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
DoS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Eclipse Mosquitto
Linuxmint
Ubuntu