Plataforma
other
Componente
mongoose
Corrigido em
7.0.1
7.1.1
7.2.1
7.3.1
7.4.1
7.5.1
7.6.1
7.7.1
7.8.1
7.9.1
7.10.1
7.11.1
7.12.1
7.13.1
7.14.1
7.15.1
7.16.1
7.17.1
7.18.1
7.19.1
7.20.1
CVE-2026-5246 é uma vulnerabilidade no Cesanta Mongoose que permite a um atacante remoto realizar um bypass de autenticação através de manipulação no P-384 Public Key Handler. Essa falha pode levar a um acesso não autorizado. As versões afetadas são 7.0 até 7.20. A vulnerabilidade foi corrigida na versão 7.21.
Uma vulnerabilidade foi identificada no Mongoose, especificamente na função mgtlsverifycertsignature dentro do componente P-384 Public Key Handler (arquivo mongoose.c), até a versão 7.20. Essa falha pode levar a uma possível bypass de autorização. O problema reside na verificação da assinatura do certificado TLS, o que poderia permitir que um atacante apresentasse um certificado malicioso e obtivesse acesso não autorizado ao sistema. A complexidade do ataque é alta, exigindo um conhecimento profundo dos protocolos TLS e da implementação do Mongoose. Embora a exploração seja considerada difícil, a divulgação pública da vulnerabilidade implica que ela pode ser explorada se medidas corretivas não forem tomadas.
A vulnerabilidade pode ser explorada remotamente, o que significa que um atacante não precisa de acesso físico ao sistema afetado. O ataque envolve a apresentação de um certificado TLS manipulado que passa a verificação da assinatura devido à falha na função mgtlsverifycertsignature. A complexidade do ataque reside na necessidade de gerar um certificado válido, mas malicioso, e na capacidade de enganar o sistema para que o aceite. A divulgação pública da vulnerabilidade aumenta o risco de que um exploit seja desenvolvido e utilizado.
Applications utilizing Cesanta Mongoose versions 7.0 through 7.20, particularly those handling sensitive data or critical functionality, are at risk. Systems with publicly exposed Mongoose instances are especially vulnerable. Organizations relying on Mongoose for TLS/SSL termination or authentication should prioritize patching.
disclosure
Status do Exploit
EPSS
0.06% (percentil 19%)
CISA SSVC
Vetor CVSS
A solução recomendada para mitigar essa vulnerabilidade é atualizar para a versão 7.21 do Mongoose. Esta versão inclui uma correção que aborda diretamente o problema na verificação da assinatura do certificado TLS. Recomenda-se aplicar esta atualização o mais rápido possível para proteger seus sistemas. Além disso, recomenda-se revisar as configurações de segurança do TLS em suas aplicações Mongoose para garantir que as melhores práticas estejam sendo utilizadas e que os certificados estejam sendo validados corretamente. Monitorar os registros do sistema em busca de atividades suspeitas também pode ajudar a detectar e responder a possíveis ataques.
Actualice la biblioteca Cesanta Mongoose a la versión 7.21 o posterior. Esta actualización corrige una vulnerabilidad de omisión de autorización en la función mg_tls_verify_cert_signature del archivo mongoose.c. La actualización está disponible como el parche 0d882f1b43ff2308b7486a56a9d60cd6dba8a3f1.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Mongoose é um servidor web leve e rápido, ideal para dispositivos embarcados e aplicações IoT.
A atualização para a versão 7.21 corrige uma vulnerabilidade de segurança que poderia permitir o acesso não autorizado ao seu sistema.
Se não puder atualizar imediatamente, implemente medidas de segurança adicionais, como o monitoramento de registros e a revisão das configurações de TLS.
Além da atualização, certifique-se de que seus certificados TLS sejam válidos e estejam corretamente configurados.
Você pode encontrar mais informações sobre a vulnerabilidade em fontes de informação de segurança, como o CVE-2026-5246.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.