Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-03296

Опубликовано: 02 янв. 2019
Источник: fstec
CVSS3: 6.5
CVSS2: 6.8
EPSS Низкий

Описание

Уязвимость брокера сообщений Eclipse Mosquitto связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Вендор

Сообщество свободного программного обеспечения
Novell Inc.
Eclipse Foundation

Наименование ПО

Debian GNU/Linux
OpenSUSE Leap
Eclipse Mosquitto

Версия ПО

9 (Debian GNU/Linux)
15.0 (OpenSUSE Leap)
от 1.0 до 1.5.5 включительно (Eclipse Mosquitto)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
Novell Inc. OpenSUSE Leap 15.0

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Eclipse Mosquitto:
https://mosquitto.org/files/cve/2018-12546/
https://bugs.eclipse.org/bugs/show_bug.cgi?id=543127
Для Debian GNU/Linux:
https://www.debian.org/security/2019/dsa-4388
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2018-12546/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 48%
0.00252
Низкий

6.5 Medium

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2018-12546

CVSS3: 6.5
ubuntu
почти 7 лет назад

In Eclipse Mosquitto version 1.0 to 1.5.5 (inclusive) when a client publishes a retained message to a topic, then has its access to that topic revoked, the retained message will still be published to clients that subscribe to that topic in the future. In some applications this may result in clients being able cause effects that would otherwise not be allowed.

nvd логотип

CVE-2018-12546

CVSS3: 6.5
nvd
почти 7 лет назад

In Eclipse Mosquitto version 1.0 to 1.5.5 (inclusive) when a client publishes a retained message to a topic, then has its access to that topic revoked, the retained message will still be published to clients that subscribe to that topic in the future. In some applications this may result in clients being able cause effects that would otherwise not be allowed.

debian логотип

CVE-2018-12546

CVSS3: 6.5
debian
почти 7 лет назад

In Eclipse Mosquitto version 1.0 to 1.5.5 (inclusive) when a client pu ...

github логотип

GHSA-mx88-h56f-w25v

CVSS3: 6.5
github
больше 3 лет назад

In Eclipse Mosquitto version 1.0 to 1.5.5 (inclusive) when a client publishes a retained message to a topic, then has its access to that topic revoked, the retained message will still be published to clients that subscribe to that topic in the future. In some applications this may result in clients being able cause effects that would otherwise not be allowed.

suse-cvrf логотип

openSUSE-SU-2019:0233-1

suse-cvrf
почти 7 лет назад

Security update for mosquitto

EPSS

Процентиль: 48%
0.00252
Низкий

6.5 Medium

CVSS3

6.8 Medium

CVSS2