←返回安全公告
EMQX 组件多安全漏洞
摘要:
EMQX 组件存在设备认证缺失、控制台默认密码等安全风险。
CVSS (Base Score):
9.8 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:H
攻击条件:
攻击者可通过网络直接访问 EMQX 服务,利用缺失的设备级认证机制订阅所有用户消息,或使用默认凭证登录控制台查看信息。
旧版本漏洞可能进一步导致服务器权限被获取。
风险:
此漏洞可能导致用户和设备通信数据等信息泄露,攻击者还可能通过控制台获取系统消息。
影响范围:
此漏洞影响已废弃的 EMQX 组件,以及设备版本小于 3.0.0 的设备。
修复方案:
由于 EMQX 为历史遗留且已废弃的组件,现已停止使用该产品,彻底消除安全隐患。
设备版本小于 3.0.0 需升级,当前版本是 6.0.1。
致谢
感谢 Sammy Azdoufal 在本漏洞的发现与协调披露过程中给予的宝贵帮助。