MEDIUMCVE-2026-5246CVSS 5.6

Cesanta Mongoose P-384公開鍵 mongoose.c mg_tls_verify_cert_signature 認証

プラットフォーム

other

コンポーネント

mongoose

修正版

7.0.1

7.1.1

7.2.1

7.3.1

7.4.1

7.5.1

7.6.1

7.7.1

7.8.1

7.9.1

7.10.1

7.11.1

7.12.1

7.13.1

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-5246は、Cesanta MongooseのP-384公開鍵ハンドラにおける認証バイパスの脆弱性です。この脆弱性を悪用することで、リモートからの攻撃者が認証を回避し、システムへの不正アクセスが可能になる可能性があります。影響を受けるバージョンは7.0から7.20です。この問題はバージョン7.21で修正されています。

影響と攻撃シナリオ

Mongooseのバージョン7.20以前に脆弱性が発見されました。これは、P-384 Public Key Handlerコンポーネント（mongoose.cファイル内）のmgtlsverifycertsignature関数に影響を与えます。この欠陥により、認証バイパスが発生する可能性があります。問題は、TLS証明書の署名検証プロセスにあり、攻撃者が悪意のある証明書を提示し、不正なアクセス権を得ることが可能になる可能性があります。攻撃は高度に複雑であると見なされ、TLSプロトコルとMongooseの実装に関する深い知識が必要です。脆弱性の悪用は困難であると見なされていますが、脆弱性の公開により、修正措置が講じられない場合、悪用される可能性があります。

悪用の状況

この脆弱性はリモートで悪用できます。つまり、攻撃者は影響を受けるシステムへの物理的なアクセスを必要としません。攻撃は、mgtlsverifycertsignature関数内の欠陥により、署名検証を通過する操作されたTLS証明書を提示することを含みます。攻撃の複雑さは、有効だが悪意のある証明書を生成する必要性と、システムを欺いてそれを受け入れる能力にあります。脆弱性の公開により、エクスプロイトが開発および使用されるリスクが高まります。

リスク対象者翻訳中…

Applications utilizing Cesanta Mongoose versions 7.0 through 7.20, particularly those handling sensitive data or critical functionality, are at risk. Systems with publicly exposed Mongoose instances are especially vulnerable. Organizations relying on Mongoose for TLS/SSL termination or authentication should prioritize patching.

攻撃タイムライン

2026-04-02Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.06% (19% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントmongoose

ベンダーCesanta

影響範囲修正版

7.0 – 7.07.0.1

7.1 – 7.17.1.1

7.2 – 7.27.2.1

7.3 – 7.37.3.1

7.4 – 7.47.4.1

7.5 – 7.57.5.1

7.6 – 7.67.6.1

7.7 – 7.77.7.1

7.8 – 7.87.8.1

弱点分類 (CWE)

CWE-639 CWE-285

タイムライン

予約済み2026-03-31
公開日2026-04-02
EPSS 更新日2026-04-09

緩和策と回避策

この脆弱性に対する推奨される軽減策は、Mongooseをバージョン7.21にアップグレードすることです。このバージョンには、TLS証明書の署名検証の問題を直接修正する修正が含まれています。システムを保護するために、できるだけ早くこのアップデートを適用することを強くお勧めします。さらに、MongooseアプリケーションのTLSセキュリティ構成を確認して、ベストプラクティスに従い、証明書が正しく検証されていることを確認してください。システムログを監視して疑わしいアクティビティを検出および対応することも役立ちます。

修正方法翻訳中…

Actualice la biblioteca Cesanta Mongoose a la versión 7.21 o posterior. Esta actualización corrige una vulnerabilidad de omisión de autorización en la función mg_tls_verify_cert_signature del archivo mongoose.c. La actualización está disponible como el parche 0d882f1b43ff2308b7486a56a9d60cd6dba8a3f1.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-5246 とは何ですか？（Cesanta Mongoose）

Mongooseは、組み込みデバイスやIoTアプリケーションに最適な、軽量で高速なWebサーバーです。

Cesanta Mongoose の CVE-2026-5246 による影響を受けていますか？

バージョン7.21にアップデートすることで、システムへの不正アクセスを可能にするセキュリティ脆弱性が修正されます。

Cesanta Mongoose の CVE-2026-5246 を修正するにはどうすればよいですか？

すぐにアップデートできない場合は、ログ監視やTLS構成の確認など、追加のセキュリティ対策を実装してください。

CVE-2026-5246 は積極的に悪用されていますか？

アップデートに加えて、TLS証明書が有効であり、正しく構成されていることを確認してください。

CVE-2026-5246 に関する Cesanta Mongoose の公式アドバイザリはどこで確認できますか？

CVE-2026-5246などのセキュリティ情報ソースから、この脆弱性に関する詳細情報を入手できます。