Проблема в nanomq v0.22.7 позволяет злоумышленникам вызвать отказ в обслуживании (DoS) с помощью созданного запроса. Количество пакетов данных, полученных в очереди Recv-q процесса Nanomq, продолжает увеличиваться, в результате чего брокер nanomq попадает в тупик и не может предоставлять нормальные услуги.
Показать оригинальное описание (EN)
NanoMQ v0.22.7 is vulnerable to Denial of Service (DoS) due to improper resource throttling. A crafted sequence of requests causes the recv-q queue to saturate, leading to the rapid exhaustion of system file descriptors (FDs). This exhaustion triggers a process crash, rendering the broker unable to provide services.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Emqx Nanomq
cpe:2.3:a:emqx:nanomq:0.22.7:*:*:*:*:*:*:*
|
— | — |