PT-2024-38981 · Eclipse+3 · Eclipse Mosquitto+3

Martin Schneider

+3

·

Publicado

2024-10-11

·

Atualizado

2026-03-29

·

CVE-2024-8376

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Nome do software vulnerável e versões afetadas:
Versões do Eclipse Mosquitto até a 2.0.18a
Descrição:
A vulnerabilidade permite que um invasor provoque vazamento de memória, falha de segmentação ou uso de memória após liberação (heap-use-after-free) ao enviar sequências específicas de pacotes, incluindo os pacotes “CONNECT”, “DISCONNECT”, “SUBSCRIBE”, ‘UNSUBSCRIBE’ e “PUBLISH”.
Recomendações:
Para as versões do Eclipse Mosquitto até 2.0.18a, considere restringir o tratamento dos pacotes “CONNECT”, “DISCONNECT”, “SUBSCRIBE”, “UNSUBSCRIBE” e “PUBLISH” até que um patch esteja disponível.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Memory Leak

Improper Handling of Exceptional Conditions

Use After Free

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-401CWE-755CWE-416

Identificadores relacionados

ALT-PU-2025-1041
ALT-PU-2025-3746
CVE-2024-8376
OESA-2024-2415
OESA-2024-2416
OESA-2024-2417
OESA-2024-2418
RHSA-2024:8718
RHSA-2024:8719
RHSA-2024:8906

Produtos afetados

Alt Linux
Debian
Eclipse Mosquitto
Red Os