一、 漏洞 CVE-2025-4384 基础信息
漏洞信息
# 证书有效性未得到正确验证
## 漏洞概述
PcVue的MQTT插件未能验证远程设备证书是否已过期或尚未生效。这使得恶意设备能够提交不受正确拒绝的证书。
## 影响版本
未指定具体受影响的版本。
## 漏洞细节
- **问题**: MQTT插件未能验证远程设备证书的有效性。
- **风险**: 恶意设备可以提交不受正确拒绝的证书,从而可能连接到系统。
## 漏洞影响
- 使用客户端证书可以降低随机设备利用此漏洞的风险,但并不能完全消除漏洞带来的威胁。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Certificate validity not properly verified
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The MQTT add-on of PcVue fails to verify that a remote device’s certificate has not already expired or has not yet become valid. This allows malicious devices to present certificates that are not rejected properly.
The use of a client certificate reduces the risk for random devices to take advantage of this flaw.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
证书过期验证不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
PcVue 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
PcVue是PcVue公司的一个可靠、安全、强大的运营软件平台,专用于监测和控制建筑和园区管理等市场中的应用。 PcVue存在安全漏洞,该漏洞源于MQTT组件未验证远程设备证书有效期,可能导致恶意设备连接。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-4384 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
