Katalog CVE

CVE-2026-49186

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Lokalny broker MQTT nie egzekwuje list kontroli dostępu (ACL) na poziomie tematów. Umożliwia to dowolnemu klientowi subskrybowanie z użyciem znaków wieloznacznych (# lub +), co pozwala na enumerację ukrytych urządzeń sieciowych lub publikowanie nieautoryzowanych poleceń kontrolnych.

Ocena ryzyka

Brak odpowiednich zabezpieczeń ACL może prowadzić do nieautoryzowanego dostępu do urządzeń w sieci oraz potencjalnego przejęcia kontroli nad nimi, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.

Rekomendacja

Zaleca się wdrożenie odpowiednich list kontroli dostępu (ACL) na poziomie tematów w brokerze MQTT, aby ograniczyć dostęp do wrażliwych danych i urządzeń w sieci.

Oryginalny opis (angielski, źródło NVD)

The local MQTT broker does not enforce topic-level Access Control Lists (ACLs). This allows any client to subscribe using wildcard characters (# or +) to enumerate hidden network devices or publish rogue control commands.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS