Plateforme
c
Composant
mongoose
Corrigé dans
7.0.1
7.1.1
7.2.1
7.3.1
7.4.1
7.5.1
7.6.1
7.7.1
7.8.1
7.9.1
7.10.1
7.11.1
7.12.1
7.13.1
7.14.1
7.15.1
7.16.1
7.17.1
7.18.1
7.19.1
7.20.1
La CVE-2026-5244 est une vulnérabilité d'overflow buffer heap affectant Cesanta Mongoose jusqu'à la version 7.20, plus précisément la fonction mgtlsrecv_cert dans mongoose.c (TLS 1.3 Handler). Cette vulnérabilité permet une exécution de code à distance. Les versions affectées sont 7.0 à 7.20. La version 7.21 corrige cette vulnérabilité.
Une vulnérabilité de débordement de tampon dans la pile (heap-based buffer overflow) a été découverte dans Cesanta Mongoose jusqu'à la version 7.20. Cette vulnérabilité affecte spécifiquement la fonction mgtlsrecv_cert au sein du composant de gestion de TLS 1.3 dans le fichier mongoose.c. La manipulation malveillante de l'argument pubkey peut déclencher ce débordement. La gravité de la vulnérabilité, selon le CVSS, est de 7.3, ce qui indique un risque important. La possibilité d'exploitation à distance signifie qu'un attaquant peut exploiter cette vulnérabilité sans accès local au système. La divulgation publique de la vulnérabilité augmente le risque d'exploitation active.
La vulnérabilité réside dans la façon dont Mongoose gère les certificats TLS 1.3. Un attaquant peut envoyer un certificat malveillant qui exploite la fonction mgtlsrecv_cert pour écraser la mémoire de la pile. Cela peut conduire à l'exécution de code arbitraire ou à une déni de service. Le fait que la vulnérabilité ait été divulguée publiquement signifie qu'il existe des outils et des techniques disponibles pour les attaquants pour l'exploiter. La possibilité d'exploitation à distance simplifie l'attaque, car elle ne nécessite pas d'accès physique au système. Surveillez les systèmes affectés à la recherche de signes d'activité malveillante.
Applications and services relying on Cesanta Mongoose as a web server, particularly those handling TLS connections, are at risk. This includes IoT devices, embedded systems, and any custom applications utilizing Mongoose's lightweight HTTP server capabilities. Systems with older, unpatched Mongoose installations are particularly vulnerable.
• linux / server:
journalctl -u mongoose | grep -i "tls_recv_cert"• generic web:
curl -I https://your-mongoose-server/ | grep -i 'Server: Mongoose'• generic web:
curl -I https://your-mongoose-server/ | grep -i 'TLS 1.3'disclosure
patch
Statut de l'Exploit
EPSS
0.08% (percentile 23%)
CISA SSVC
Vecteur CVSS
La solution recommandée pour atténuer cette vulnérabilité est de mettre à niveau vers la version 7.21 de Cesanta Mongoose. Ce correctif, identifié par le hash 0d882f1b43ff2308b7486a56a9d60cd6dba8a3f1, corrige directement la cause du débordement de tampon. Il est crucial d'appliquer cette mise à jour dès que possible pour protéger vos systèmes contre les attaques potentielles. La mise à niveau doit être priorisée, en particulier dans les environnements où Mongoose est utilisé pour gérer des connexions TLS 1.3 sensibles. Consultez la documentation officielle de Cesanta pour obtenir des instructions détaillées sur la manière d'effectuer la mise à niveau.
Actualice la biblioteca Cesanta Mongoose a la versión 7.21 o posterior. Esto corrige la vulnerabilidad de desbordamiento de búfer basada en heap en la función mg_tls_recv_cert del archivo mongoose.c. La actualización mitiga el riesgo de ejecución remota de código.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
C'est un type d'erreur de programmation qui se produit lorsqu'un programme tente d'écrire des données au-delà des limites d'un tampon alloué dans la mémoire de la pile. Cela peut corrompre les données adjacentes et, dans certains cas, permettre l'exécution de code malveillant.
La version 7.21 contient un correctif spécifique pour cette vulnérabilité, éliminant le risque de débordement de tampon et protégeant vos systèmes contre les attaques.
Si la mise à niveau immédiate n'est pas possible, envisagez de mettre en œuvre des mesures d'atténuation supplémentaires, telles que le renforcement de la configuration de Mongoose et la surveillance des systèmes affectés à la recherche d'une activité suspecte.
Bien qu'il n'existe pas d'outils spécifiques pour détecter cette vulnérabilité, les scanners de vulnérabilités peuvent identifier les systèmes exécutant des versions antérieures de Mongoose.
Vous pouvez trouver plus d'informations sur les ressources officielles de Cesanta et sur les sites Web de sécurité informatique qui rendent compte de la vulnérabilité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.