MQTT主机名验证漏洞分析
漏洞详情
包名: bundler mqtt (RubyGems)
受影响版本: < 0.7.0
已修复版本: 0.7.0
漏洞描述
在Rubygem MQTT中发现了一个安全漏洞。该软件包默认不进行主机名验证,可能导致中间人攻击(MITM)。
严重程度
高危 - CVSS评分7.4
CVSS v3基础指标
- 攻击向量: 网络
- 攻击复杂度: 高
- 所需权限: 无
- 用户交互: 无
- 影响范围: 未改变
- 机密性影响: 高
- 完整性影响: 高
- 可用性影响: 无
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2025-12790
- https://access.redhat.com/security/cve/CVE-2025-12790
- https://bugzilla.redhat.com/show_bug.cgi?id=2413004
- https://github.com/njh/ruby-mqtt/blob/main/NEWS.md#ruby-mqtt-version-070-2025-10-29
弱点分类
CWE-29: 路径遍历 - ‘..filename’
产品使用外部输入构建应位于受限目录内的路径名,但未能正确过滤’..filename’(前导反斜杠点点)序列,这些序列可能解析到该目录之外的位置。
识别信息
- CVE ID: CVE-2025-12790
- GHSA ID: GHSA-9c5q-w6gr-fxcq
- 源代码: njh/ruby-mqtt
时间线
- 国家漏洞数据库发布: 2025年11月6日
- GitHub咨询数据库发布: 2025年11月6日
- 最后更新: 2025年11月6日
- 审核时间: 2025年11月6日