Escanear grátis
MEDIUMCVE-2026-5246CVSS 5.6

Cesanta Mongoose Chave Pública P-384 mongoose.c mg_tls_verify_cert_signature autorização

Plataforma

other

Componente

mongoose

Corrigido em

7.0.1

7.1.1

7.2.1

7.3.1

7.4.1

7.5.1

7.6.1

7.7.1

7.8.1

7.9.1

7.10.1

7.11.1

7.12.1

7.13.1

7.14.1

7.15.1

7.16.1

7.17.1

7.18.1

7.19.1

7.20.1

AI Confidence: highNVDEPSS 0.1%Revisado: mai. de 2026
Ver no NVD
Salvar

CVE-2026-5246 é uma vulnerabilidade no Cesanta Mongoose que permite a um atacante remoto realizar um bypass de autenticação através de manipulação no P-384 Public Key Handler. Essa falha pode levar a um acesso não autorizado. As versões afetadas são 7.0 até 7.20. A vulnerabilidade foi corrigida na versão 7.21.

Impacto e Cenários de Ataque

Uma vulnerabilidade foi identificada no Mongoose, especificamente na função mgtlsverifycertsignature dentro do componente P-384 Public Key Handler (arquivo mongoose.c), até a versão 7.20. Essa falha pode levar a uma possível bypass de autorização. O problema reside na verificação da assinatura do certificado TLS, o que poderia permitir que um atacante apresentasse um certificado malicioso e obtivesse acesso não autorizado ao sistema. A complexidade do ataque é alta, exigindo um conhecimento profundo dos protocolos TLS e da implementação do Mongoose. Embora a exploração seja considerada difícil, a divulgação pública da vulnerabilidade implica que ela pode ser explorada se medidas corretivas não forem tomadas.

Contexto de Exploração

A vulnerabilidade pode ser explorada remotamente, o que significa que um atacante não precisa de acesso físico ao sistema afetado. O ataque envolve a apresentação de um certificado TLS manipulado que passa a verificação da assinatura devido à falha na função mgtlsverifycertsignature. A complexidade do ataque reside na necessidade de gerar um certificado válido, mas malicioso, e na capacidade de enganar o sistema para que o aceite. A divulgação pública da vulnerabilidade aumenta o risco de que um exploit seja desenvolvido e utilizado.

Quem Está em Riscotraduzindo…

Applications utilizing Cesanta Mongoose versions 7.0 through 7.20, particularly those handling sensitive data or critical functionality, are at risk. Systems with publicly exposed Mongoose instances are especially vulnerable. Organizations relying on Mongoose for TLS/SSL termination or authentication should prioritize patching.

Linha do Tempo do Ataque

  1. Disclosure

    disclosure

Inteligência de Ameaças

Status do Exploit

Prova de ConceitoDesconhecido
CISA KEVNO
Exposição na InternetAlta

EPSS

0.06% (percentil 19%)

CISA SSVC

Exploraçãopoc
Automatizávelno
Impacto Técnicopartial

Vetor CVSS

INTELIGÊNCIA DE AMEAÇAS· CVSS 3.1CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L/E:P/RL:O/RC:C5.6MEDIUMAttack VectorNetworkComo o atacante alcança o alvoAttack ComplexityHighCondições necessárias para explorarPrivileges RequiredNoneNível de autenticação necessárioUser InteractionNoneSe a vítima precisa tomar uma açãoScopeUnchangedImpacto além do componente afetadoConfidentialityLowRisco de exposição de dados sensíveisIntegrityLowRisco de modificação não autorizada de dadosAvailabilityLowRisco de interrupção de serviçonextguardhq.com · Pontuação Base CVSS v3.1
O que significam essas métricas?
Attack Vector
Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
Attack Complexity
Alta — exige condição de corrida, configuração não padrão ou circunstâncias específicas.
Privileges Required
Nenhum — sem autenticação necessária para explorar.
User Interaction
Nenhuma — ataque automático e silencioso. A vítima não faz nada.
Scope
Inalterado — impacto limitado ao componente vulnerável.
Confidentiality
Baixo — acesso parcial ou indireto a alguns dados.
Integrity
Baixo — o atacante pode modificar alguns dados com alcance limitado.
Availability
Baixo — negação de serviço parcial ou intermitente.

Software Afetado

Componentemongoose
FornecedorCesanta
Faixa afetadaCorrigido em
7.0 – 7.07.0.1
7.1 – 7.17.1.1
7.2 – 7.27.2.1
7.3 – 7.37.3.1
7.4 – 7.47.4.1
7.5 – 7.57.5.1
7.6 – 7.67.6.1
7.7 – 7.77.7.1
7.8 – 7.87.8.1
7.9 – 7.97.9.1
7.10 – 7.107.10.1
7.11 – 7.117.11.1
7.12 – 7.127.12.1
7.13 – 7.137.13.1
7.14 – 7.147.14.1
7.15 – 7.157.15.1
7.16 – 7.167.16.1
7.17 – 7.177.17.1
7.18 – 7.187.18.1
7.19 – 7.197.19.1
7.20 – 7.207.20.1

Classificação de Fraqueza (CWE)

CWE-639CWE-285

Linha do tempo

  1. Reservado
  2. Publicada
  3. EPSS atualizado

Mitigação e Soluções Alternativas

A solução recomendada para mitigar essa vulnerabilidade é atualizar para a versão 7.21 do Mongoose. Esta versão inclui uma correção que aborda diretamente o problema na verificação da assinatura do certificado TLS. Recomenda-se aplicar esta atualização o mais rápido possível para proteger seus sistemas. Além disso, recomenda-se revisar as configurações de segurança do TLS em suas aplicações Mongoose para garantir que as melhores práticas estejam sendo utilizadas e que os certificados estejam sendo validados corretamente. Monitorar os registros do sistema em busca de atividades suspeitas também pode ajudar a detectar e responder a possíveis ataques.

Como corrigirtraduzindo…

Actualice la biblioteca Cesanta Mongoose a la versión 7.21 o posterior. Esta actualización corrige una vulnerabilidad de omisión de autorización en la función mg_tls_verify_cert_signature del archivo mongoose.c. La actualización está disponible como el parche 0d882f1b43ff2308b7486a56a9d60cd6dba8a3f1.

Boletim de Segurança CVE

Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.

Perguntas frequentes

O que é CVE-2026-5246 em Cesanta Mongoose?

Mongoose é um servidor web leve e rápido, ideal para dispositivos embarcados e aplicações IoT.

Estou afetado pelo CVE-2026-5246 no Cesanta Mongoose?

A atualização para a versão 7.21 corrige uma vulnerabilidade de segurança que poderia permitir o acesso não autorizado ao seu sistema.

Como corrijo o CVE-2026-5246 no Cesanta Mongoose?

Se não puder atualizar imediatamente, implemente medidas de segurança adicionais, como o monitoramento de registros e a revisão das configurações de TLS.

O CVE-2026-5246 está sendo explorado ativamente?

Além da atualização, certifique-se de que seus certificados TLS sejam válidos e estejam corretamente configurados.

Onde encontro o aviso oficial do Cesanta Mongoose para o CVE-2026-5246?

Você pode encontrar mais informações sobre a vulnerabilidade em fontes de informação de segurança, como o CVE-2026-5246.

Seu projeto está afetado?

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

Escanear grátisBuscar CVEs