公告 ID：2026-032-AWS
范围：AWS
内容类型：重要提示（需要注意）
发布日期：2026 年 5 月 14 日上午 11:45（太平洋夏令时）
 

描述：

coreMQTT 是一个用于嵌入式设备的轻量级 MQTT 客户端库。我们发现了 CVE-2026-8686 漏洞，在 5.0.1 之前的 coreMQTT 中，MQTT v5.0 SUBACK 和 UNSUBACK 属性解析器中缺少边界验证，允许 MQTT 代理发送刻意编制的数据包，从而导致拒绝服务（通过堆内存越界读取而导致崩溃）。

受影响的版本：v5.0.0

解决方法：

此问题已在 coreMQTT 版本 5.0.1 中予以解决。建议您升级到最新版本，并确保对任何分叉代码或派生代码进行修补，以纳入新的修复程序。

临时措施：

此问题没有临时措施。客户应升级到固定版本。

参考：

• CVE-2026-8686
• GHSA-6qh9-r6jp-2wxc
• coreMQTT PR #367

致谢：

我们非常感谢 Epsilon 通过协调漏洞披露流程针对这个问题进行的合作。

如有任何安全问题或疑虑，请发送电子邮件至 aws-security@amazon.com。