MQTT 不验证主机名 · CVE-2025-12790 · GitHub 安全通告数据库
漏洞详情
软件包 bundler mqtt (RubyGems)
受影响版本 < 0.7.0
已修复版本 0.7.0
描述 在 Rubygem MQTT 中发现一个缺陷。默认情况下,该软件包未进行主机名验证,可能导致中间人攻击。
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2025-12790
- https://access.redhat.com/security/cve/CVE-2025-12790
- https://bugzilla.redhat.com/show_bug.cgi?id=2413004
- https://github.com/njh/ruby-mqtt/blob/main/NEWS.md#ruby-mqtt-version-070-2025-10-29
发布日期
- 由国家漏洞数据库发布:2025年11月6日
- 发布至 GitHub 安全通告数据库:2025年11月6日
- 最后更新:2025年11月6日
- 已审核:2025年11月6日
严重程度 高
CVSS 总体评分 7.4 / 10
CVSS v3 基础指标
- 攻击向量: 网络
- 攻击复杂度: 高
- 所需权限: 无
- 用户交互: 无
- 影响范围: 未改变
- 机密性影响: 高
- 完整性影响: 高
- 可用性影响: 无
CVSS 向量: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
EPSS 分数 0.043% (第13百分位)
弱点
- 弱点: CWE-29
- 描述: 路径遍历:
..filename。产品使用外部输入来构造应位于受限目录内的路径名,但未能正确消除可解析到该目录外部位置的..filename(前导反斜杠点点)序列。
CVE ID CVE-2025-12790
GHSA ID GHSA-9c5q-w6gr-fxcq
源代码 njh/ruby-mqtt