CVE-2026-45151
NiskieCVSS 2.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 13 — wyżej niż 13% wszystkich znanych CVE
Streszczenie
W wersjach 0.24.8 i wcześniejszych broker MQTT NanoMQ może dereferencjonować wskaźnik substrumienia, gdy substrumień jest w stanie ponownego otwarcia. Kod kończy operację AIO z błędem, ale nie zwraca przed zablokowaniem mutexa c->mtx.
Ocena ryzyka
Podatność ta może prowadzić do zablokowania systemu, co może wpłynąć na dostępność usług w organizacji. W przypadku wykorzystania tej luki, atakujący może spowodować awarię brokera wiadomości.
Rekomendacja
Zaleca się aktualizację do wersji NanoMQ powyżej 0.24.8, aby usunąć tę podatność. Należy również monitorować logi systemowe w celu wykrycia potencjalnych prób wykorzystania tej luki.
Oryginalny opis (angielski, źródło NVD)
NanoMQ MQTT Broker (NanoMQ) is an all-around Edge Messaging Platform. In 0.24.8 and earlier, quic_stream_recv can dereference a null substream pointer when a substream is in reopen state. The code finishes the AIO with error but does not return before locking c->mtx.

