一、 漏洞 CVE-2020-27220 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
Eclipse Hono AMQP 和 MQTT 协议适配器在只订阅特定设备的指令时,不会检查授权 authenticated gateway 设备接收命令与控制消息是否有效。缺失的检查涉及验证指令目标设备已配置,允许 gateway 设备代表其行事。这意味着某个租户的授权设备,尤其是一个充当 gateway 的非 gateway 设备,可能会接收针对同一租户的不同设备的目标命令与控制消息,而相应权限不会得到检查。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The Eclipse Hono AMQP and MQTT protocol adapters do not check whether an authenticated gateway device is authorized to receive command & control messages when it has subscribed only to commands for a specific device. The missing check involves verifying that the command target device is configured giving permission for the gateway device to act on its behalf. This means an authenticated device of a certain tenant, notably also a non-gateway device acting like a gateway, may receive command & control messages targeted at a different device of the same tenant without corresponding permissions getting checked.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
授权机制缺失
来源:美国国家漏洞数据库 NVD
漏洞标题
Eclipse Hono 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Eclipse Hono是Eclipse基金会的一个用于为所连接的 IOT 设备提供控制接口的软件。该软件连接大量的IOT设备,并提供对外提供统一的访问接口进行控制。 Eclipse Hono AMQP and MQTT protocol 适配器存在安全漏洞,该漏洞源于经过身份验证的设备可以接收不同设备的命令和控制消息。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2020-27220 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2020-27220 的情报信息