ID du bulletin : 2026-032-AWS
Portée : AWS
Type de contenu : important (nécessite une attention particulière)
Date de publication : 14/05/2026 à 11 h 45 (heure du Pacifique)
 

Description :

coreMQTT est une bibliothèque cliente MQTT légère pour les appareils embarqués. Nous avons identifié le problème CVE-2026-8686, en raison duquel l’absence de validation des limites dans l’analyseur de propriétés SUBACK et UNSUBACK MQTT v5.0 dans coreMQTT avant la version 5.0.1 permet à un agent MQTT de provoquer un déni de service (plantage dû à une lecture hors limites du tas) en envoyant un paquet conçu à cet effet.

Versions concernées : v5.0.0

Résolution :

Ce problème a été résolu dans coreMQTT version 5.0.1. Nous vous recommandons de passer à la dernière version et de vous assurer que tout code dérivé ou forké soit mis à jour afin d’intégrer les nouveaux correctifs.

Solutions de contournement :

Il n’existe aucune solution de contournement à ce problème. Les clients doivent mettre à niveau vers la version corrigée.

Références :

• CVE-2026-8686
• GHSA-6qh9-r6jp-2wxc
• coreMQTT PR #367

Remerciements :

Nous tenons à remercier Epsilon pour sa collaboration sur cette question dans le cadre du processus coordonné de divulgation des vulnérabilités.

Veuillez envoyer un e-mail à l’adresse aws-security@amazon.com pour toute question ou préoccupation en matière de sécurité.