MQTT 未验证主机名 · CVE-2025-12790 · GitHub 安全公告数据库
漏洞详情
软件包
- bundler
- mqtt (RubyGems)
受影响版本 < 0.7.0
已修复版本 0.7.0
描述
在 Rubygem MQTT 中发现一个缺陷。默认情况下,该软件包过去未进行主机名验证,可能导致中间人攻击。
参考
- https://nvd.nist.gov/vuln/detail/CVE-2025-12790
- https://access.redhat.com/security/cve/CVE-2025-12790
- https://bugzilla.redhat.com/show_bug.cgi?id=2413004
- https://github.com/njh/ruby-mqtt/blob/main/NEWS.md#ruby-mqtt-version-070-2025-10-29
发布时间
- 由国家漏洞数据库发布:2025年11月6日
- 发布至 GitHub 安全公告数据库:2025年11月6日
- 最后更新:2025年11月6日
- 已审阅:2025年11月6日
严重等级:高
CVSS 总体评分:7.4 / 10
此评分根据通用漏洞评分系统计算总体漏洞严重程度(0 到 10 分)。
CVSS v3 基础指标
- 攻击向量: 网络
- 攻击复杂度: 高
- 所需权限: 无
- 用户交互: 无
- 范围: 未改变
- 机密性影响: 高
- 完整性影响: 高
- 可用性影响: 无
CVSS 向量字符串: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
EPSS 分数:0.057% (第18百分位) 此分数估计此漏洞在未来 30 天内被利用的概率。数据由 FIRST 提供。
弱点
- 弱点: CWE-29
- 标题: 路径遍历:
..\filename - 描述: 产品使用外部输入来构造应位于受限目录内的路径名,但未能正确过滤可解析到该目录之外位置的
..\filename(前导反斜杠点点)序列。在 MITRE 上了解更多信息。
标识符
- CVE ID: CVE-2025-12790
- GHSA ID: GHSA-9c5q-w6gr-fxcq
源代码
- njh/ruby-mqtt