CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2018-20145
https://notcve.org/view.php?id=CVE-2018-20145
Eclipse Mosquitto 1.5.x before 1.5.5 allows ACL bypass: if the option per_listener_settings was set to true, and the default listener was in use, and the default listener specified an acl_file, then the acl file was being ignored. Eclipse Mosquitto en versiones 1.5.x anteriores a la 1.5.5 permite la omisión de las listas de control de acceso: si la opción per_listener_settings está establecida como True, el escuchador por defecto se está empleando y el escuchador por defecto especifica un acl_file, el archivo acl se ignora. • https://github.com/eclipse/mosquitto/blob/master/ChangeLog.txt https://github.com/eclipse/mosquitto/commit/9097577b49b7fdcf45d30975976dd93808ccc0c4 https://github.com/eclipse/mosquitto/issues/1073 • CWE-732: Incorrect Permission Assignment for Critical Resource •
CVSS: 7.5EPSS: 5%CPEs: 1EXPL: 0CVE-2018-12543
https://notcve.org/view.php?id=CVE-2018-12543
In Eclipse Mosquitto versions 1.5 to 1.5.2 inclusive, if a message is published to Mosquitto that has a topic starting with $, but that is not $SYS, e.g. $test/test, then an assert is triggered that should otherwise not be reachable and Mosquitto will exit. En Eclipse Mosquitto, de la versión 1.5 a la 1.5.2 inclusive, si se publica un mensaje en Mosquitto con un tema que empieza por $, pero que no es $SYS, e.g. $test/test, se desencadena una aserción que, de otra forma, no debería ser alcanzable y Mosquitto se cerrará. • https://bugs.eclipse.org/bugs/show_bug.cgi?id=539295 • CWE-20: Improper Input Validation CWE-617: Reachable Assertion •