ID bollettino: 2026-032-AWS
Ambito: AWS
Tipo di contenuto: importante (richiede attenzione)
Data di pubblicazione: 14/05/2026 11:45 PDT
 

Descrizione:

coreMQTT è una libreria client MQTT leggera per dispositivi integrati. Abbiamo identificato CVE-2026-8686, un problema a causa del quale una mancata convalida dei limiti nell’analisi delle proprietà MQTT v5.0 SUBACK e UNSUBACK in coreMQTT prima di 5.0.1 consente a un broker MQTT di provocare un denial of service (arresto a causa di lettura dell’heap fuori dai limiti) tramite l’invio di un pacchetto creato appositamente.

Versioni interessate: v5.0.0

Risoluzione:

Il problema è stato risolto nella versione 5.0.1 di coreMQTT. Per incorporare le nuove correzioni, consigliamo di eseguire l’aggiornamento alla versione più recente e di assicurarsi che siano state applicate le patch a qualsiasi codice derivato o di cui è stato eseguito il fork.

Soluzioni alternative:

Non sono disponibili soluzioni alternative per questo problema. I clienti devono eseguire l’aggiornamento alla versione contenente le correzioni.

Riferimenti:

• CVE-2026-8686
• GHSA-6qh9-r6jp-2wxc
• coreMQTT PR #367

Ringraziamenti:

si ringrazia Epsilon per la collaborazione su questa segnalazione nell’ambito del processo di divulgazione coordinata delle vulnerabilità.

Per eventuali domande o dubbi sulla sicurezza, invia un’e-mail all’indirizzo aws-security@amazon.com.