公告 ID：2026-032-AWS
範圍：AWS
內容類型：重要 (需要注意)
發布日期：2026 年 5 月 14 日上午 11:45 (太平洋夏令時間)
 

描述：

coreMQTT 是適用於嵌入式裝置的輕量級 MQTT 用戶端程式庫。我們發現了 CVE-2026-8686：在 5.0.1 版之前的 coreMQTT 中，由於 MQTT v5.0 SUBACK 與 UNSUBACK 屬性剖析器缺少邊界驗證，MQTT 代理程式可藉由傳送特製封包來引發阻斷服務 (因堆積越界讀取而導致當機)。

受影響版本：v5.0.0

解決方案：

此問題已於 coreMQTT 5.0.1 版 中修正。建議您升級至最新版本，並確保所有分支或衍生程式碼皆已套用修補程式，以納入最新修正。

變通方法：

此問題並無變通方法。客戶應升級至已修正的版本。

參考資料：

• CVE-2026-8686
• GHSA-6qh9-r6jp-2wxc
• coreMQTT PR #367

致謝：

我們感謝 Epsilon 透過協同漏洞揭露流程，與我們共同處理此問題。

如有任何安全問題或疑慮，請寄電子郵件至 aws-security@amazon.com。