Plattform
other
Komponente
mongoose
Behoben in
7.0.1
7.1.1
7.2.1
7.3.1
7.4.1
7.5.1
7.6.1
7.7.1
7.8.1
7.9.1
7.10.1
7.11.1
7.12.1
7.13.1
7.14.1
7.15.1
7.16.1
7.17.1
7.18.1
7.19.1
7.20.1
CVE-2026-5246 describes an authorization bypass vulnerability discovered in Cesanta Mongoose versions 7.0 through 7.20. This flaw, located within the P-384 Public Key Handler, enables attackers to potentially bypass authentication mechanisms. Successful exploitation requires complex manipulation and is considered difficult, but the vulnerability has been publicly disclosed. A fix is available in version 7.21.
Eine Schwachstelle wurde in Mongoose-Versionen bis 7.20 identifiziert, die die Funktion mgtlsverifycertsignature innerhalb der Komponente P-384 Public Key Handler (Datei mongoose.c) betrifft. Dieser Fehler kann zu einer Autorisierungsumgehung führen. Das Problem liegt in der Überprüfung der TLS-Zertifikatsignatur, wodurch ein Angreifer potenziell ein bösartiges Zertifikat präsentieren und unbefugten Zugriff erlangen könnte. Der Angriff wird als hochkomplex eingestuft und erfordert ein tiefes Verständnis der TLS-Protokolle und der Mongoose-Implementierung. Obwohl die Ausnutzung als schwierig gilt, bedeutet die öffentliche Offenlegung der Schwachstelle, dass sie ausgenutzt werden könnte, wenn keine Abhilfemaßnahmen ergriffen werden.
Die Schwachstelle kann remote ausgenutzt werden, was bedeutet, dass ein Angreifer keinen physischen Zugriff auf das betroffene System benötigt. Der Angriff beinhaltet die Präsentation eines manipulierten TLS-Zertifikats, das aufgrund des Fehlers in der Funktion mgtlsverifycertsignature die Signaturüberprüfung besteht. Die Komplexität des Angriffs liegt in der Notwendigkeit, ein gültiges, aber bösartiges Zertifikat zu generieren und das System zu täuschen, um es zu akzeptieren. Die öffentliche Offenlegung der Schwachstelle erhöht das Risiko, dass ein Exploit entwickelt und verwendet wird.
Applications utilizing Cesanta Mongoose versions 7.0 through 7.20, particularly those handling sensitive data or critical functionality, are at risk. Systems with publicly exposed Mongoose instances are especially vulnerable. Organizations relying on Mongoose for TLS/SSL termination or authentication should prioritize patching.
disclosure
Exploit-Status
EPSS
0.06% (19% Perzentil)
CISA SSVC
CVSS-Vektor
Die empfohlene Abhilfemaßnahme für diese Schwachstelle ist die Aktualisierung auf Mongoose-Version 7.21. Diese Version enthält eine Korrektur, die das Problem bei der Überprüfung der TLS-Zertifikatsignatur direkt behebt. Es wird dringend empfohlen, dieses Update so schnell wie möglich anzuwenden, um Ihre Systeme zu schützen. Überprüfen Sie außerdem die TLS-Sicherheitseinstellungen in Ihren Mongoose-Anwendungen, um sicherzustellen, dass bewährte Verfahren befolgt werden und Zertifikate korrekt validiert werden. Die Überwachung der Systemprotokolle auf verdächtige Aktivitäten kann ebenfalls dazu beitragen, potenzielle Angriffe zu erkennen und darauf zu reagieren.
Actualice la biblioteca Cesanta Mongoose a la versión 7.21 o posterior. Esta actualización corrige una vulnerabilidad de omisión de autorización en la función mg_tls_verify_cert_signature del archivo mongoose.c. La actualización está disponible como el parche 0d882f1b43ff2308b7486a56a9d60cd6dba8a3f1.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Mongoose ist ein schlanker und schneller Webserver, ideal für Embedded-Geräte und IoT-Anwendungen.
Das Update auf Version 7.21 behebt eine Sicherheitslücke, die unbefugten Zugriff auf Ihr System ermöglichen könnte.
Wenn Sie nicht sofort aktualisieren können, implementieren Sie zusätzliche Sicherheitsmaßnahmen wie die Protokollüberwachung und die Überprüfung der TLS-Konfigurationen.
Zusätzlich zum Update stellen Sie sicher, dass Ihre TLS-Zertifikate gültig und korrekt konfiguriert sind.
Sie finden weitere Informationen über die Schwachstelle in Sicherheitsinformationsquellen wie CVE-2026-5246.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.