Plateforme
other
Composant
mongoose
Corrigé dans
7.0.1
7.1.1
7.2.1
7.3.1
7.4.1
7.5.1
7.6.1
7.7.1
7.8.1
7.9.1
7.10.1
7.11.1
7.12.1
7.13.1
7.14.1
7.15.1
7.16.1
7.17.1
7.18.1
7.19.1
7.20.1
CVE-2026-5246 est une vulnérabilité dans Cesanta Mongoose jusqu'à la version 7.20, spécifiquement dans la fonction mgtlsverifycertsignature du fichier mongoose.c, affectant le composant P-384 Public Key Handler. Une manipulation peut entraîner un contournement d'autorisation à distance. Les versions affectées sont les versions 7.0 à 7.20. La mise à niveau vers la version 7.21 corrige cette vulnérabilité.
Une vulnérabilité a été identifiée dans Mongoose, jusqu'à la version 7.20, affectant la fonction mgtlsverifycertsignature au sein du composant P-384 Public Key Handler (fichier mongoose.c). Cette faille peut entraîner un contournement d'autorisation. Le problème réside dans le processus de vérification de la signature du certificat TLS, permettant potentiellement à un attaquant de présenter un certificat malveillant et d'obtenir un accès non autorisé. L'attaque est considérée comme hautement complexe, nécessitant une connaissance approfondie des protocoles TLS et de l'implémentation de Mongoose. Bien que l'exploitation soit jugée difficile, la divulgation publique de la vulnérabilité signifie qu'elle pourrait être exploitée si aucune mesure corrective n'est prise.
La vulnérabilité peut être exploitée à distance, ce qui signifie qu'un attaquant n'a pas besoin d'un accès physique au système affecté. L'attaque consiste à présenter un certificat TLS manipulé qui passe la vérification de la signature en raison de la faille dans la fonction mgtlsverifycertsignature. La complexité de l'attaque réside dans la nécessité de générer un certificat valide mais malveillant et dans la capacité à tromper le système pour qu'il l'accepte. La divulgation publique de la vulnérabilité augmente le risque qu'un exploit soit développé et utilisé.
Applications utilizing Cesanta Mongoose versions 7.0 through 7.20, particularly those handling sensitive data or critical functionality, are at risk. Systems with publicly exposed Mongoose instances are especially vulnerable. Organizations relying on Mongoose for TLS/SSL termination or authentication should prioritize patching.
disclosure
Statut de l'Exploit
EPSS
0.06% (percentile 19%)
CISA SSVC
Vecteur CVSS
La mitigation recommandée pour cette vulnérabilité est de mettre à niveau vers la version 7.21 de Mongoose. Cette version inclut une correction qui résout directement le problème dans la vérification de la signature du certificat TLS. Il est fortement recommandé d'appliquer cette mise à jour dès que possible pour protéger vos systèmes. De plus, examinez les configurations de sécurité TLS dans vos applications Mongoose pour vous assurer que les meilleures pratiques sont suivies et que les certificats sont correctement validés. Surveiller les journaux du système à la recherche d'activités suspectes peut également aider à détecter et à répondre aux attaques potentielles.
Actualice la biblioteca Cesanta Mongoose a la versión 7.21 o posterior. Esta actualización corrige una vulnerabilidad de omisión de autorización en la función mg_tls_verify_cert_signature del archivo mongoose.c. La actualización está disponible como el parche 0d882f1b43ff2308b7486a56a9d60cd6dba8a3f1.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Mongoose est un serveur web léger et rapide, idéal pour les appareils embarqués et les applications IoT.
La mise à jour vers la version 7.21 corrige une vulnérabilité de sécurité qui pourrait permettre un accès non autorisé à votre système.
Si vous ne pouvez pas mettre à jour immédiatement, mettez en œuvre des mesures de sécurité supplémentaires, telles que la surveillance des journaux et l'examen des configurations TLS.
En plus de la mise à jour, assurez-vous que vos certificats TLS sont valides et correctement configurés.
Vous pouvez trouver plus d'informations sur la vulnérabilité auprès des sources d'informations sur la sécurité, telles que CVE-2026-5246.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.