ID del boletín: 2026-032-AWS
Alcance: AWS
Tipo de contenido: Importante (requiere atención)
Fecha de publicación: 14/05/2026 11:45 h PDT
 

Descripción:

coreMQTT es una biblioteca cliente MQTT ligera para dispositivos integrados. Identificamos la vulnerabilidad CVE-2026-8686, un problema en el que la falta de validación de límites en el analizador de propiedades SUBACK y UNSUBACK en MQTT v5.0 de CoreMQTT anterior a la versión 5.0.1 permitía a un agente MQTT provocar una denegación de servicio (un bloqueo mediante una lectura fuera de los límites del montículo) mediante el envío de un paquete diseñado.

Versiones afectadas: < v5.0.0

Resolución:

Este problema se abordó en la versión 5.0.1 de CoreMQTT. Recomendamos actualizar a la versión más reciente y verificar que cualquier código derivado o bifurcado incorpore las nuevas correcciones.

Soluciones alternativas:

No existen soluciones alternativas para este problema. Los clientes deben actualizar a la versión corregida.

Referencias:

• CVE-2026-8686
• GHSA-6qh9-r6jp-2wxc
• coreMQTT PR #367

Reconocimiento:

Agradecemos a Epsilon por colaborar en este asunto a través del proceso coordinado de divulgación de vulnerabilidades.

Si tiene alguna pregunta o duda sobre seguridad, envíe un correo electrónico a aws-security@amazon.com.