CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-49186

CriticalCVSS 9.8
Published: Updated: Translated: NVD NIST

Summary

Lokalny broker MQTT nie egzekwuje list kontroli dostępu (ACL) na poziomie tematów. Umożliwia to dowolnemu klientowi subskrybowanie z użyciem znaków wieloznacznych (# lub +), co pozwala na enumerację ukrytych urządzeń sieciowych lub publikowanie nieautoryzowanych poleceń kontrolnych.

Risk Assessment

Brak odpowiednich zabezpieczeń ACL może prowadzić do nieautoryzowanego dostępu do urządzeń w sieci oraz potencjalnego przejęcia kontroli nad nimi, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.

Recommendation

Zaleca się wdrożenie odpowiednich list kontroli dostępu (ACL) na poziomie tematów w brokerze MQTT, aby ograniczyć dostęp do wrażliwych danych i urządzeń w sieci.

Original NVD description (English source)

The local MQTT broker does not enforce topic-level Access Control Lists (ACLs). This allows any client to subscribe using wildcard characters (# or +) to enumerate hidden network devices or publish rogue control commands.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS