Page 2 of 16 results (0.012 seconds)

CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 1

In Eclipse Mosquitto versions 2.07 and earlier, the server will crash if the client tries to send a PUBLISH packet with topic length = 0. En Eclipse Mosquitto versiones 2.07 y anteriores, el servidor se bloqueará si el cliente intenta enviar un paquete PUBLISH con longitud de tema = 0 • https://bugs.eclipse.org/bugs/show_bug.cgi?id=574141 • CWE-20: Improper Input Validation •

CVSS: 7.5EPSS: 0%CPEs: 3EXPL: 0

In Eclipse Mosquitto version from 1.0 to 1.4.15, a Null Dereference vulnerability was found in the Mosquitto library which could lead to crashes for those applications using the library. En Eclipse Mosquitto, desde la versión 1.0 hasta la 1.4.15, se ha descubierto una vulnerabilidad de desreferencia de puntero null en la biblioteca Mosquitto que podría conducir a cierres inesperados de las aplicaciones que la emplean. • https://bugs.eclipse.org/bugs/show_bug.cgi?id=533775 https://lists.debian.org/debian-lts-announce/2019/10/msg00035.html https://lists.debian.org/debian-lts-announce/2021/10/msg00022.html • CWE-476: NULL Pointer Dereference •

CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 1

In Eclipse Mosquitto version 1.0 to 1.5.5 (inclusive) when a client publishes a retained message to a topic, then has its access to that topic revoked, the retained message will still be published to clients that subscribe to that topic in the future. In some applications this may result in clients being able cause effects that would otherwise not be allowed. En Eclipse Mosquitto, desde la versión 1.0 hasta la 1.5.5 (incluidas), cuando un cliente publica un mensaje retenido en un tema y luego se le niega el acceso a dicho tema, el mensaje retenido se publicará de todas formas a los clientes que se suscriban a ese tema en el futuro. En algunas aplicaciones, esto podría resultar en que los clientes sean capaces de provocar efectos que no les están permitidos de otra forma. • https://bugs.eclipse.org/bugs/show_bug.cgi?id=543127 • CWE-284: Improper Access Control CWE-732: Incorrect Permission Assignment for Critical Resource •

CVSS: 8.1EPSS: 0%CPEs: 1EXPL: 1

When Eclipse Mosquitto version 1.0 to 1.5.5 (inclusive) is configured to use a password file for authentication, any malformed data in the password file will be treated as valid. This typically means that the malformed data becomes a username and no password. If this occurs, clients can circumvent authentication and get access to the broker by using the malformed username. In particular, a blank line will be treated as a valid empty username. Other security measures are unaffected. • https://bugs.eclipse.org/bugs/show_bug.cgi?id=543401 https://lists.debian.org/debian-lts-announce/2019/10/msg00035.html • CWE-287: Improper Authentication CWE-703: Improper Check or Handling of Exceptional Conditions •

CVSS: 8.1EPSS: 0%CPEs: 1EXPL: 0

When Eclipse Mosquitto version 1.0 to 1.5.5 (inclusive) is configured to use an ACL file, and that ACL file is empty, or contains only comments or blank lines, then Mosquitto will treat this as though no ACL file has been defined and use a default allow policy. The new behaviour is to have an empty ACL file mean that all access is denied, which is not a useful configuration but is not unexpected. Cuando Eclipse Mosquitto, desde la versión 1.0 hasta la 1.5.5 (incluidas), está configurado para emplear un archivo de listas de control de acceso (ACL) y ese archivo está vacío o solo contiene comentarios o líneas en blanco, Mosquitto considerará que no se ha definido ningún archivo ACL y empleará una política de permisividad por defecto. El nuevo comportamiento es que un archivo ACL vacío significa que todos los accesos se deniegan, lo que no es una configuración útil, pero no se espera. • https://bugs.eclipse.org/bugs/show_bug.cgi?id=541870 https://lists.debian.org/debian-lts-announce/2019/10/msg00035.html • CWE-440: Expected Behavior Violation •