Описание
Уязвимость программной библиотеки для языка программирования Ruby Rubygem-mqtt связана с неверным ограничением имени пути к каталогу. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку типа «человек посередине»
Вендор
ООО «Ред Софт»
Nicholas Humfrey
Наименование ПО
РЕД ОС
Rubygem-mqtt
Версия ПО
7.3 (РЕД ОС)
до 0.7.0 (Rubygem-mqtt)
Тип ПО
Операционная система
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
ООО «Ред Софт» РЕД ОС 7.3
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 7,4)
Возможные меры по устранению уязвимости
Использование рекомендаций:
https://github.com/njh/ruby-mqtt/blob/main/NEWS.md#ruby-mqtt-version-070-2025-10-29
Для РедОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-rubygem-mqtt-cve-2025-12790/?sphrase_id=1371002
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 19%
0.00062
Низкий
7.4 High
CVSS3
7.1 High
CVSS2
Связанные уязвимости
CVSS3: 7.4
nvd
около 1 месяца назад
A flaw was found in Rubygem MQTT. By default, the package used to not have hostname validation, resulting in possible Man-in-the-Middle (MITM) attack.
EPSS
Процентиль: 19%
0.00062
Низкий
7.4 High
CVSS3
7.1 High
CVSS2