NanoMQ MQTT Broker (NanoMQ) is an all-around Edge Messaging Platform. Versions prior to 0.24.11 have a remotely triggerable heap buffer overflow in the `uri_param_parse` function of NanoMQ's REST API. The vulnerability occurs due to an off-by-one error when allocating memory for query parameter keys and values, allowing an attacker to write a null byte beyond the allocated buffer. This can be triggered via a crafted HTTP request. Version 0.24.11 patches the issue.
NanoMQ MQTT Broker versions before 0.24.11 contain a heap buffer overflow vulnerability in the REST API's uri_param_parse function due to an off-by-one memory allocation error. Remote attackers can exploit this via crafted HTTP requests to write beyond allocated buffers, potentially achieving code execution.
تحتوي نسخ NanoMQ السابقة للإصدار 0.24.11 على ثغرة تجاوز ذاكرة heap في واجهة REST API بسبب خطأ off-by-one في تخصيص الذاكرة لمفاتيح وقيم معاملات الاستعلام. يمكن للمهاجمين البعيدين تفعيل هذه الثغرة عبر طلبات HTTP مصنوعة بعناية تحتوي على معاملات استعلام خاصة.
إصدارات NanoMQ MQTT Broker السابقة للإصدار 0.24.11 تحتوي على ثغرة تجاوز ذاكرة heap في دالة uri_param_parse بواسطة خطأ off-by-one في تخصيص الذاكرة. يمكن للمهاجمين البعيدين استغلال هذا عبر طلبات HTTP مصنوعة بعناية.
Immediately upgrade NanoMQ to version 0.24.11 or later. If immediate patching is not possible, restrict HTTP access to the REST API through network segmentation and firewall rules, disable the REST API if not required, and monitor for suspicious HTTP requests with unusual query parameters.
قم بترقية NanoMQ إلى الإصدار 0.24.11 أو أحدث فوراً. إذا لم يكن الترقية فوراً ممكناً، قيّد الوصول إلى REST API عبر تقسيم الشبكة وقواعد جدار الحماية، عطّل REST API إذا لم يكن مطلوباً، وراقب الطلبات المريبة.