MQTT 不验证主机名 · CVE-2025-12790 · GitHub Advisory Database
漏洞详情
软件包 bundler mqtt (RubyGems)
受影响版本 < 0.7.0
已修复版本 0.7.0
描述 在 Rubygem MQTT 中发现一个缺陷。该软件包默认未进行主机名验证,可能导致中间人攻击。
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2025-12790
- https://access.redhat.com/security/cve/CVE-2025-12790
- https://bugzilla.redhat.com/show_bug.cgi?id=2413004
- https://github.com/njh/ruby-mqtt/blob/main/NEWS.md#ruby-mqtt-version-070-2025-10-29
发布时间线
- 由国家漏洞数据库发布:2025年11月6日
- 由 GitHub Advisory Database 发布:2025年11月6日
- 最后更新:2025年11月6日
- 审核时间:2025年11月6日
严重等级 高 CVSS 总体评分:7.4 / 10
CVSS v3 基础指标
- 攻击向量: 网络
- 攻击复杂度: 高
- 所需权限: 无
- 用户交互: 无
- 影响范围: 未更改
- 机密性影响: 高
- 完整性影响: 高
- 可用性影响: 无
CVSS 向量: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
EPSS 分数 0.062% (第20百分位) 此分数估计了该漏洞在未来30天内被利用的可能性。数据由FIRST提供。
弱点
CWE-29
路径遍历:.. 文件名
产品使用外部输入来构造一个应限制在特定目录内的路径名,但未能正确处理 .. 文件名序列,可能导致访问到该目录之外的位置。在 MITRE 上了解更多。
标识符
- CVE ID: CVE-2025-12790
- GHSA ID: GHSA-9c5q-w6gr-fxcq
源代码 njh/ruby-mqtt