प्लेटफ़ॉर्म
other
घटक
mongoose
में ठीक किया गया
7.0.1
7.1.1
7.2.1
7.3.1
7.4.1
7.5.1
7.6.1
7.7.1
7.8.1
7.9.1
7.10.1
7.11.1
7.12.1
7.13.1
7.14.1
7.15.1
7.16.1
7.17.1
7.18.1
7.19.1
7.20.1
CVE-2026-5246, Cesanta Mongoose के 7.0 से 7.20 संस्करणों में मौजूद एक भेद्यता है, जो P-384 पब्लिक की हैंडलर में प्रमाणीकरण बाईपास की अनुमति देती है। इस भेद्यता का फायदा उठाकर, हमलावर दूर से प्रमाणीकरण को बायपास कर सकते हैं। यह भेद्यता मध्यम गंभीरता की है और इसे संस्करण 7.21 में ठीक किया गया है।
Mongoose के संस्करण 7.20 और उससे पहले में एक भेद्यता की पहचान की गई है, जो P-384 पब्लिक की हैंडलर घटक (mongoose.c फ़ाइल) के भीतर mgtlsverifycertsignature फ़ंक्शन को प्रभावित करती है। यह दोष प्राधिकरण को बायपास कर सकता है। समस्या TLS प्रमाणपत्र हस्ताक्षर सत्यापन प्रक्रिया में है, जो एक हमलावर को दुर्भावनापूर्ण प्रमाणपत्र प्रस्तुत करने और अनधिकृत पहुंच प्राप्त करने की अनुमति दे सकती है। हमले को अत्यधिक जटिल माना जाता है और इसके लिए TLS प्रोटोकॉल और Mongoose कार्यान्वयन की गहरी समझ की आवश्यकता होती है। यद्यपि शोषण को कठिन माना जाता है, भेद्यता का सार्वजनिक प्रकटीकरण इंगित करता है कि यदि कोई सुधारात्मक कार्रवाई नहीं की जाती है, तो इसका शोषण किया जा सकता है।
इस भेद्यता का दूरस्थ रूप से शोषण किया जा सकता है, जिसका अर्थ है कि हमलावर को प्रभावित सिस्टम तक भौतिक पहुंच की आवश्यकता नहीं है। हमले में mgtlsverifycertsignature फ़ंक्शन में दोष के कारण हस्ताक्षर सत्यापन को पास करने वाले हेरफेर किए गए TLS प्रमाणपत्र को प्रस्तुत करना शामिल है। हमले की जटिलता वैध लेकिन दुर्भावनापूर्ण प्रमाणपत्र उत्पन्न करने और सिस्टम को इसे स्वीकार करने के लिए धोखा देने की क्षमता में निहित है। भेद्यता का सार्वजनिक प्रकटीकरण एक शोषण विकसित और उपयोग किए जाने के जोखिम को बढ़ाता है।
Applications utilizing Cesanta Mongoose versions 7.0 through 7.20, particularly those handling sensitive data or critical functionality, are at risk. Systems with publicly exposed Mongoose instances are especially vulnerable. Organizations relying on Mongoose for TLS/SSL termination or authentication should prioritize patching.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.06% (19% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता के लिए अनुशंसित शमन Mongoose को संस्करण 7.21 में अपग्रेड करना है। इस संस्करण में एक फिक्स शामिल है जो TLS प्रमाणपत्र हस्ताक्षर सत्यापन में समस्या को सीधे संबोधित करता है। अपने सिस्टम को सुरक्षित रखने के लिए इस अपडेट को जल्द से जल्द लागू करने की दृढ़ता से अनुशंसा की जाती है। इसके अतिरिक्त, अपने Mongoose अनुप्रयोगों में TLS सुरक्षा कॉन्फ़िगरेशन की समीक्षा करें ताकि यह सुनिश्चित किया जा सके कि सर्वोत्तम प्रथाओं का पालन किया जा रहा है और प्रमाणपत्रों को सही ढंग से मान्य किया जा रहा है। सिस्टम लॉग की निगरानी करके संदिग्ध गतिविधि का पता लगाना और प्रतिक्रिया देना भी सहायक हो सकता है।
Actualice la biblioteca Cesanta Mongoose a la versión 7.21 o posterior. Esta actualización corrige una vulnerabilidad de omisión de autorización en la función mg_tls_verify_cert_signature del archivo mongoose.c. La actualización está disponible como el parche 0d882f1b43ff2308b7486a56a9d60cd6dba8a3f1.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
Mongoose एक हल्का और तेज़ वेब सर्वर है, जो एम्बेडेड उपकरणों और IoT अनुप्रयोगों के लिए आदर्श है।
संस्करण 7.21 में अपग्रेड करने से एक सुरक्षा भेद्यता ठीक हो जाएगी जो आपके सिस्टम तक अनधिकृत पहुंच की अनुमति दे सकती है।
यदि आप तुरंत अपग्रेड नहीं कर सकते हैं, तो अतिरिक्त सुरक्षा उपाय लागू करें, जैसे लॉग निगरानी और TLS कॉन्फ़िगरेशन की समीक्षा करना।
अपग्रेड के अलावा, सुनिश्चित करें कि आपके TLS प्रमाणपत्र वैध और सही ढंग से कॉन्फ़िगर किए गए हैं।
आप CVE-2026-5246 जैसे सुरक्षा सूचना स्रोतों से इस भेद्यता के बारे में अधिक जानकारी पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।