CVE-2026-49186
KrytyczneCVSS 9.8Streszczenie
Lokalny broker MQTT nie egzekwuje list kontroli dostępu (ACL) na poziomie tematów. Umożliwia to dowolnemu klientowi subskrybowanie z użyciem znaków wieloznacznych (# lub +), co pozwala na enumerację ukrytych urządzeń sieciowych lub publikowanie nieautoryzowanych poleceń kontrolnych.
Ocena ryzyka
Brak odpowiednich zabezpieczeń ACL może prowadzić do nieautoryzowanego dostępu do urządzeń w sieci oraz potencjalnego przejęcia kontroli nad nimi, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się wdrożenie odpowiednich list kontroli dostępu (ACL) na poziomie tematów w brokerze MQTT, aby ograniczyć dostęp do wrażliwych danych i urządzeń w sieci.
Oryginalny opis (angielski, źródło NVD)
The local MQTT broker does not enforce topic-level Access Control Lists (ACLs). This allows any client to subscribe using wildcard characters (# or +) to enumerate hidden network devices or publish rogue control commands.

