漏洞概述 NanoMQ v0.24.6 HTTP认证模块空指针解引用漏洞 CVE编号: CVE-2025-32046 漏洞类型: NULL-pointer dereference / 拒绝服务 (DoS) 严重程度: Low (CVSS 3.1: 3.1/10) 攻击向量: 网络,无需权限,需要用户交互 当客户端使用MQTT CONNECT连接broker时未提供用户名/密码,且配置中使用 / 占位符时, 函数会对NULL指针调用 ,导致SIGSEGV崩溃。 --- 影响范围 --- 关键配置(漏洞触发条件) --- POC/复现步骤 步骤1:启动伪造HTTP服务(端口8991) 步骤2:触发漏洞(无用户名/密码连接) --- 崩溃信息(GDB输出) --- 修复方案 当前状态: 漏洞已报告并修复,但官方未发布修复版本(Patched versions: None) 临时缓解措施: 禁用HTTP认证,或 移除配置中的 / 占位符使用,或 强制要求客户端必须提供用户名/密码连接