ID do boletim: 2026-032-AWS
Escopo: AWS
Tipo de conteúdo: importante (requer atenção)
Data de publicação: 14/05/2026 11:45 PDT
 

Descrição:

O CoreMQTT é uma biblioteca cliente MQTT leve para dispositivos embarcados. Identificamos a vulnerabilidade CVE-2026-8686 em que a falta de validação de limites no analisador das propriedades SUBACK e UNSUBACK do MQTT v5.0 no coreMQTT, em versões anteriores à 5.0.1, permite que um broker MQTT provoque uma negação de serviço (falha do sistema devido a leitura fora dos limites da pilha) ao enviar um pacote malicioso.

Versões afetadas: v5.0.0

Resolução:

Esse problema foi resolvido no coreMQTT versão 5.0.1. Recomendamos atualizar para a versão mais recente e garantir que qualquer código bifurcado ou derivado seja corrigido para incorporar as novas correções.

Soluções alternativas:

Não há soluções alternativas para esse problema. Os clientes devem fazer upgrade para a versão fixa.

Referências:

• CVE-2026-8686
• GHSA-6qh9-r6jp-2wxc
• coreMQTT PR #367

Agradecimento:

Gostaríamos de agradecer à Epsilon por colaborar na abordagem desse problema por meio do processo coordenado de divulgação de vulnerabilidades.

Envie um e-mail para aws-security@amazon.com em caso de qualquer dúvida ou preocupação sobre segurança.