关键漏洞信息 CVE编号: CVE-2025-12790 公开日期: 2025年11月6日 最后修改: 2025年11月6日 9:07:28 PM UTC 严重级别: 重要 CVSS v3分数: 7.4 CVSS v3向量: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N 漏洞描述 在Rubygem MQTT中发现了一个漏洞。默认情况下,用于该漏洞的包没有主机名验证,导致可能出现中间人(MITM)攻击。 陈述 Satellite仅使用mqtt gem在“智能代理”和“mosquitto”之间建立连接,这两个都在同一台机器上运行。因此影响较低。 缓解措施 该问题的缓解措施要么不可用,要么目前可用的选项不符合Red Hat产品安全标准,包括易用性和部署、适用于广泛安装基础或稳定性。 受影响的软件包和发布的Red Hat安全更新 所有以前版本的包在该产品列表中的任何次要更新流,除非明确声明不受影响,否则都应被视为脆弱,尽管可能尚未经过全面分析。 CVSS v3分数情况表 理解弱点(CWE) CWE-29 保密性,完整性 技术影响: 读取文件或目录,修改文件或目录。