PT-2024-32394 · Unknown · Meshtastic
Zach3478
·
Publicado
2024-09-25
·
Atualizado
2024-12-02
·
CVE-2024-47078
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Meshtastic anteriores à 2.5.1
Descrição
O Meshtastic é uma rede mesh de código aberto, fora da rede elétrica e descentralizada, que utiliza MQTT para se comunicar, por meio de uma conexão à Internet, com um servidor MQTT compartilhado ou privado. Os nós podem se comunicar diretamente por meio de uma conexão à Internet ou por proxy através de um telefone conectado via Bluetooth. Várias vulnerabilidades na implementação do MQTT permitem que a autenticação e a autorização sejam contornadas, resultando no controle não autorizado dos nós conectados ao MQTT.
Recomendações
Para versões anteriores à 2.5.1, atualize para a versão 2.5.1 para resolver o problema. Como solução temporária, considere restringir o acesso à implementação do MQTT até que o patch seja aplicado. Evite usar a conexão MQTT vulnerável nos nós afetados até que o problema seja resolvido.
Exploit
Correção
Incorrect Authorization
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Meshtastic