CVE-2026-49186
CriticalCVSS 9.8Summary
Lokalny broker MQTT nie egzekwuje list kontroli dostępu (ACL) na poziomie tematów. Umożliwia to dowolnemu klientowi subskrybowanie z użyciem znaków wieloznacznych (# lub +), co pozwala na enumerację ukrytych urządzeń sieciowych lub publikowanie nieautoryzowanych poleceń kontrolnych.
Risk Assessment
Brak odpowiednich zabezpieczeń ACL może prowadzić do nieautoryzowanego dostępu do urządzeń w sieci oraz potencjalnego przejęcia kontroli nad nimi, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.
Recommendation
Zaleca się wdrożenie odpowiednich list kontroli dostępu (ACL) na poziomie tematów w brokerze MQTT, aby ograniczyć dostęp do wrażliwych danych i urządzeń w sieci.
Original NVD description (English source)
The local MQTT broker does not enforce topic-level Access Control Lists (ACLs). This allows any client to subscribe using wildcard characters (# or +) to enumerate hidden network devices or publish rogue control commands.

