一、 漏洞 CVE-2024-45038 基础信息
漏洞标题
在Meshtastic设备固件中,当下行链路启用时,通过形成不良MQTT数据包导致设备崩溃
来源:AIGC 神龙大模型
漏洞描述信息
Meshtastic设备固件是为运行在离网、去中心化、网格网络上的开源设备而设计的固件,该网络旨在在经济实惠、低功耗的设备上运行,其中Meshtastic设备固件在MQTT处理方面存在拒绝服务的漏洞,此漏洞已在Meshtastic固件版本2.4.1以及Meshtastic公共MQTT代理中得到修复。强烈建议所有Meshtastic用户,特别是连接到私人托管的MQTT服务器的用户,立即更新到此或更近期的稳定版本。对于此漏洞尚无已知的补救措施。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
来源:AIGC 神龙大模型
漏洞类别
未加控制的资源消耗(资源穷尽)
来源:AIGC 神龙大模型
漏洞标题
Device crash via malformed MQTT packet when downlink is enabled in Meshtastic device firmware
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Meshtastic device firmware is a firmware for meshtastic devices to run an open source, off-grid, decentralized, mesh network built to run on affordable, low-power devices. Meshtastic device firmware is subject to a denial of serivce vulnerability in MQTT handling, fixed in version 2.4.1 of the Meshtastic firmware and on the Meshtastic public MQTT Broker. It's strongly suggested that all users of Meshtastic, particularly those that connect to a privately hosted MQTT server, update to this or a more recent stable version right away. There are no known workarounds for this vulnerability.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
对异常条件的处理不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
Meshtastic device firmware 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Meshtastic device firmware是Meshtastic开源的一种用于 Meshtastic 设备运行开源、离网、去中心化网状网络的固件。 Meshtastic device firmware存在安全漏洞,该漏洞源于 MQTT 存在拒绝服务漏洞。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-45038 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2024-45038 的情报信息
-
标题: Device crash via malformed MQTT packet when downlink is enabled · Advisory · meshtastic/firmware · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2024-45038