返回安全公告
发布者:安全团队
发布时间:2026-03-12

EMQX 组件多安全漏洞

摘要:
EMQX 组件存在设备认证缺失、控制台默认密码等安全风险。

CVSS (Base Score):

9.8 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:H

攻击条件:

攻击者可通过网络直接访问 EMQX 服务,利用缺失的设备级认证机制订阅所有用户消息,或使用默认凭证登录控制台查看信息。 旧版本漏洞可能进一步导致服务器权限被获取。

风险:

此漏洞可能导致用户和设备通信数据等信息泄露,攻击者还可能通过控制台获取系统消息。

影响范围:

此漏洞影响已废弃的 EMQX 组件,以及设备版本小于 3.0.0 的设备。

修复方案:

由于 EMQX 为历史遗留且已废弃的组件,现已停止使用该产品,彻底消除安全隐患。 设备版本小于 3.0.0 需升级,当前版本是 6.0.1。
致谢

感谢 Sammy Azdoufal 在本漏洞的发现与协调披露过程中给予的宝贵帮助。