Platform
other
Component
mongoose
Opgelost in
7.0.1
7.1.1
7.2.1
7.3.1
7.4.1
7.5.1
7.6.1
7.7.1
7.8.1
7.9.1
7.10.1
7.11.1
7.12.1
7.13.1
7.14.1
7.15.1
7.16.1
7.17.1
7.18.1
7.19.1
7.20.1
CVE-2026-5246 is een kwetsbaarheid in Cesanta Mongoose tot versie 7.20, specifiek in de mgtlsverifycertsignature functie van mongoose.c. Deze kwetsbaarheid maakt een autorisatie bypass mogelijk via een complexe, remote aanval op de P-384 Public Key Handler. Versies 7.0 tot 7.21 zijn getroffen. Een upgrade naar versie 7.21 verhelpt dit probleem.
Er is een kwetsbaarheid geïdentificeerd in Mongoose-versies tot 7.20, die de functie mgtlsverifycertsignature binnen de P-384 Public Key Handler-component (bestand mongoose.c) beïnvloedt. Deze fout kan leiden tot een omzeiling van autorisatie. Het probleem ligt in het proces van het verifiëren van de TLS-certificaatsignatuur, waardoor een aanvaller potentieel een kwaadaardig certificaat kan presenteren en ongeautoriseerde toegang kan krijgen. De aanval wordt als zeer complex beschouwd en vereist een diepgaand begrip van TLS-protocollen en de Mongoose-implementatie. Hoewel de exploitatie als moeilijk wordt beschouwd, betekent de publieke openbaarmaking van de kwetsbaarheid dat deze kan worden misbruikt als er geen corrigerende maatregelen worden genomen.
De kwetsbaarheid kan op afstand worden misbruikt, wat betekent dat een aanvaller geen fysieke toegang tot het getroffen systeem nodig heeft. De aanval omvat het presenteren van een gemanipuleerd TLS-certificaat dat de signatuurverificatie doorstaat vanwege de fout in de functie mgtlsverifycertsignature. De complexiteit van de aanval ligt in de noodzaak om een geldig, maar kwaadaardig certificaat te genereren en het systeem te misleiden om het te accepteren. De publieke openbaarmaking van de kwetsbaarheid verhoogt het risico dat een exploit wordt ontwikkeld en gebruikt.
Applications utilizing Cesanta Mongoose versions 7.0 through 7.20, particularly those handling sensitive data or critical functionality, are at risk. Systems with publicly exposed Mongoose instances are especially vulnerable. Organizations relying on Mongoose for TLS/SSL termination or authentication should prioritize patching.
disclosure
Exploit Status
EPSS
0.06% (19% percentiel)
CISA SSVC
CVSS-vector
De aanbevolen mitigatie voor deze kwetsbaarheid is het upgraden naar Mongoose-versie 7.21. Deze versie bevat een fix die het probleem in de verificatie van de TLS-certificaatsignatuur direct aanpakt. Het wordt ten zeerste aanbevolen om deze update zo snel mogelijk toe te passen om uw systemen te beschermen. Controleer bovendien de TLS-beveiligingsconfiguraties in uw Mongoose-applicaties om ervoor te zorgen dat best practices worden gevolgd en certificaten correct worden gevalideerd. Het monitoren van systeemlogboeken op verdachte activiteiten kan ook helpen bij het detecteren en reageren op potentiële aanvallen.
Actualice la biblioteca Cesanta Mongoose a la versión 7.21 o posterior. Esta actualización corrige una vulnerabilidad de omisión de autorización en la función mg_tls_verify_cert_signature del archivo mongoose.c. La actualización está disponible como el parche 0d882f1b43ff2308b7486a56a9d60cd6dba8a3f1.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Mongoose is een lichtgewicht en snelle webserver, ideaal voor embedded apparaten en IoT-applicaties.
Het updaten naar versie 7.21 corrigeert een beveiligingslek dat ongeautoriseerde toegang tot uw systeem mogelijk kan maken.
Als u niet direct kunt updaten, implementeer dan extra beveiligingsmaatregelen, zoals logboekmonitoring en het controleren van TLS-configuraties.
Naast het updaten, zorg ervoor dat uw TLS-certificaten geldig en correct zijn geconfigureerd.
U kunt meer informatie over de kwetsbaarheid vinden in beveiligingsinformatiebronnen, zoals CVE-2026-5246.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.