速報 ID: 2026-032-AWS
対象範囲: AWS
コンテンツタイプ: 重要 (要注意)
発行日: 2026 年 5 月 14 日 午前 11 時 45 分 (PDT)
 

説明:

coreMQTT は、埋め込みデバイス向けの軽量 MQTT クライアントライブラリです。当社では、CVE-2026-8686 を特定しました。これは、coreMQTT 5.0.1 よりも前のバージョンで、MQTT v5.0 の SUBACK および UNSUBACK プロパティパーサーにおいて境界検証が欠如していることにより、細工されたパケットを送信することで、 MQTT ブローカーがサービス拒否 (ヒープ境界外読み取りを介したクラッシュ) を引き起こすことを可能にする問題です。

影響を受けるバージョン: v5.0.0

解決方法:

この問題は、coreMQTT バージョン 5.0.1 で対処されています。最新バージョンにアップグレードし、フォークしたコードや派生コードにパッチを適用して新しい修正を反映させることをお勧めします。

回避策:

この問題の回避策はありません。修正済みのバージョンにアップグレードする必要があります。

参考情報:

• CVE-2026-8686
• GHSA-6qh9-r6jp-2wxc
• coreMQTT PR #367

謝辞:

協調的脆弱性開示プロセスを通じてこの問題に協力してくださった Epsilon に感謝いたします。

セキュリティに関する質問や懸念については、aws-security@amazon.com まで E メールでお問い合わせください。