Vulnerabilidad en el adaptador de protocolo AMQP en Eclipse Hono (CVE-2020-27217)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
13/11/2020
Última modificación:
01/12/2020
Descripción
En Eclipse Hono versiones 1.3.0 y 1.4.0, el adaptador de protocolo AMQP no verifica el tamaño de los mensajes AMQP recibidos desde dispositivos. En particular, un dispositivo puede enviar mensajes que son más grandes que el tamaño máximo de mensaje que el adaptador de protocolo ha indicado durante el establecimiento del enlace. Si bien el protocolo AMQP versión 1.0 explícitamente no permite a un peer enviar dichos mensajes, un cliente AMQP versión 1.0 diseñado podría explotar este comportamiento a fin de enviar un mensaje de tamaño ilimitado hacia el adaptador, lo que eventualmente causa a un adaptador un fallo con una excepción de falta de memoria
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:eclipse:hono:1.3.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:eclipse:hono:1.4.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página