CVSS: 7.5EPSS: 0%CPEs: 4EXPL: 0CVE-2017-7652
https://notcve.org/view.php?id=CVE-2017-7652
In Eclipse Mosquitto 1.4.14, if a Mosquitto instance is set running with a configuration file, then sending a HUP signal to server triggers the configuration to be reloaded from disk. If there are lots of clients connected so that there are no more file descriptors/sockets available (default limit typically 1024 file descriptors on Linux), then opening the configuration file will fail. En Eclipse Mosquitto, si se establece una instancia de Mosquitto ejecutándose con un archivo de configuración, el envío de una señal HUP al servidor provoca que la configuración se recargue desde el disco. Si hay muchos clientes conectados de tal forma que ya no queden más descriptores de archivos/sockets disponibles (el límite normal por defecto suele ser de 1024 descriptores de archivos en Linux), no se podrá abrir el archivo de configuración. • https://bugs.eclipse.org/bugs/show_bug.cgi?id=530102 https://lists.debian.org/debian-lts-announce/2018/03/msg00037.html https://lists.debian.org/debian-lts-announce/2018/06/msg00016.html https://mosquitto.org/blog/2018/02/security-advisory-cve-2017-7651-cve-2017-7652 https://www.debian.org/security/2018/dsa-4325 • CWE-789: Memory Allocation with Excessive Size Value •
CVSS: 7.5EPSS: 0%CPEs: 4EXPL: 2CVE-2017-7651
https://notcve.org/view.php?id=CVE-2017-7651
In Eclipse Mosquitto 1.4.14, a user can shutdown the Mosquitto server simply by filling the RAM memory with a lot of connections with large payload. This can be done without authentications if occur in connection phase of MQTT protocol. En Eclipse Mosquitto 1.4.14, un usuario puede cerrar el servidor Mosquitto simplemente llenando la memoria RAM con muchas conexiones con una carga útil grande. Esto puede hacerse sin autenticaciones si ocurre en la fase de conexión del protocolo MQTT. • https://github.com/St3v3nsS/CVE-2017-7651 https://bugs.eclipse.org/bugs/show_bug.cgi?id=529754 https://lists.debian.org/debian-lts-announce/2018/03/msg00037.html https://lists.debian.org/debian-lts-announce/2018/06/msg00016.html https://mosquitto.org/blog/2018/02/security-advisory-cve-2017-7651-cve-2017-7652 https://www.debian.org/security/2018/dsa-4325 • CWE-400: Uncontrolled Resource Consumption CWE-789: Memory Allocation with Excessive Size Value •
CVSS: 7.8EPSS: 0%CPEs: 1EXPL: 1CVE-2017-8315
https://notcve.org/view.php?id=CVE-2017-8315
Eclipse XML parser for the Eclipse IDE versions 2017.2.5 and earlier was found vulnerable to an XML External Entity attack. An attacker can exploit the vulnerability by implementing malicious code on Androidmanifest.xml. El analizador Eclipse XML para Eclipse IDE, en versiones 2017.2.5 y anteriores, es vulnerable a un ataque de XML External Entity. Un atacante puede explotar la vulnerabilidad implementando código malicioso en Androidmanifest.xml. • https://bugs.eclipse.org/bugs/show_bug.cgi?id=519169 https://research.checkpoint.com/parsedroid-targeting-android-development-research-community • CWE-611: Improper Restriction of XML External Entity Reference •
CVSS: 10.0EPSS: 0%CPEs: 1EXPL: 0CVE-2017-7649
https://notcve.org/view.php?id=CVE-2017-7649
The network enabled distribution of Kura before 2.1.0 takes control over the device's firewall setup but does not allow IPv6 firewall rules to be configured. Still the Equinox console port 5002 is left open, allowing to log into Kura without any user credentials over unencrypted telnet and executing commands using the Equinox "exec" command. As the process is running as "root" full control over the device can be acquired. IPv6 is also left in auto-configuration mode, accepting router advertisements automatically and assigns a MAC address based IPv6 address. La distribución adaptada a la red de Kura en versiones anteriores a la 2.1.0 asume el control de la configuración del firewall del dispositivo, pero no permite la configuración de las reglas del firewall IPv6. • https://bugs.eclipse.org/bugs/show_bug.cgi?id=514681 https://github.com/eclipse/kura/issues/956 • CWE-287: Improper Authentication •
CVSS: 5.5EPSS: 0%CPEs: 2EXPL: 0CVE-2017-9868
https://notcve.org/view.php?id=CVE-2017-9868
In Mosquitto through 1.4.12, mosquitto.db (aka the persistence file) is world readable, which allows local users to obtain sensitive MQTT topic information. En Mosquitto hasta la versión 1.4.12, mosquitto.db (también conocido como archivo de persistencia) es legible por todo el mundo, lo que permite a los usuarios locales obtener información sensible de los topic's MQTT. • https://github.com/eclipse/mosquitto/issues/468 https://lists.debian.org/debian-lts-announce/2018/09/msg00036.html • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •