HIGHCVE-2026-5244CVSS 7.3

CVE-2026-5244：Cesanta Mongoose 堆溢出漏洞 (CVSS 7.3)

平台

组件

mongoose

修复版本

7.0.1

7.1.1

7.2.1

7.3.1

7.4.1

7.5.1

7.6.1

7.7.1

7.8.1

7.9.1

7.10.1

7.11.1

7.12.1

7.13.1

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年4月

在NVD查看

保存

CVE-2026-5244是Cesanta Mongoose中存在的一个堆溢出漏洞，影响7.20及更早版本。该漏洞位于mongoose.c文件的mgtlsrecv_cert函数中，由于对pubkey参数的不当处理，可能导致堆溢出。远程攻击者可以利用此漏洞。受影响的版本包括7.0–7.20。此问题已在7.21版本中修复。

影响与攻击场景

在 Cesanta Mongoose 的 7.20 及更早版本中发现了一种堆缓冲区溢出漏洞。此漏洞特别影响 mongoose.c 文件中 TLS 1.3 处理程序组件中的 mgtlsrecv_cert 函数。对 pubkey 参数的恶意操作可能触发此溢出。根据 CVSS，此漏洞的严重程度评分为 7.3，表明存在重大风险。远程可利用性意味着攻击者无需本地系统访问即可利用此漏洞。此漏洞的公开披露增加了主动利用的风险。

利用背景

此漏洞在于 Mongoose 处理 TLS 1.3 证书的方式。攻击者可以发送恶意证书，利用 mgtlsrecv_cert 函数覆盖堆栈内存。这可能导致任意代码执行或拒绝服务。此漏洞的公开披露意味着攻击者可以使用工具和技术来利用它。远程可利用性简化了攻击，因为它不需要物理访问系统。监控受影响的系统，查找恶意活动的迹象。

哪些人处于风险中翻译中…

Applications and services relying on Cesanta Mongoose as a web server, particularly those handling TLS connections, are at risk. This includes IoT devices, embedded systems, and any custom applications utilizing Mongoose's lightweight HTTP server capabilities. Systems with older, unpatched Mongoose installations are particularly vulnerable.

检测步骤翻译中…

• linux / server:

journalctl -u mongoose | grep -i "tls_recv_cert"

• generic web:

curl -I https://your-mongoose-server/ | grep -i 'Server: Mongoose'

• generic web:

curl -I https://your-mongoose-server/ | grep -i 'TLS 1.3'

攻击时间线

2026-04-02Disclosure
disclosure
2026-04-02Patch
patch

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.08% (23% 百分位)

CISA SSVC

利用情况none

可自动化yes

技术影响partial

CVSS 向量

受影响的软件

组件mongoose

供应商Cesanta

影响范围修复版本

7.0 – 7.07.0.1

7.1 – 7.17.1.1

7.2 – 7.27.2.1

7.3 – 7.37.3.1

7.4 – 7.47.4.1

7.5 – 7.57.5.1

7.6 – 7.67.6.1

7.7 – 7.77.7.1

7.8 – 7.87.8.1

弱点分类 (CWE)

CWE-122 CWE-119

时间线

已保留2026-03-31
发布日期2026-04-02
EPSS 更新日期2026-04-09

缓解措施和替代方案

此漏洞的建议缓解措施是将 Cesanta Mongoose 升级到 7.21 版本。此补丁由哈希值 0d882f1b43ff2308b7486a56a9d60cd6dba8a3f1 标识，直接解决了缓冲区溢出的根本原因。为了保护您的系统免受潜在攻击，尽快应用此更新至关重要。应优先考虑此更新，尤其是在 Mongoose 用于处理敏感 TLS 1.3 连接的环境中。有关执行升级的详细说明，请参阅官方 Cesanta 文档。

修复方法翻译中…

Actualice la biblioteca Cesanta Mongoose a la versión 7.21 o posterior. Esto corrige la vulnerabilidad de desbordamiento de búfer basada en heap en la función mg_tls_recv_cert del archivo mongoose.c. La actualización mitiga el riesgo de ejecución remota de código.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-5244 是什么 — Cesanta Mongoose 中的 Buffer Overflow？

这是一种编程错误，当程序尝试在堆内存中分配的缓冲区边界之外写入数据时发生。这可能会损坏相邻数据，并在某些情况下允许执行恶意代码。

Cesanta Mongoose 中的 CVE-2026-5244 是否会影响我？

版本 7.21 包含此漏洞的特定修复程序，消除了缓冲区溢出的风险，并保护您的系统免受攻击。

如何修复 Cesanta Mongoose 中的 CVE-2026-5244？

如果无法立即升级，请考虑实施其他缓解措施，例如强化 Mongoose 配置并监控受影响的系统是否存在可疑活动。

CVE-2026-5244 是否正在被积极利用？

虽然没有专门用于检测此漏洞的工具，但漏洞扫描程序可以识别运行 Mongoose 旧版本的系统。

在哪里可以找到 Cesanta Mongoose 关于 CVE-2026-5244 的官方安全通告？

您可以在官方 Cesanta 资源和报告此漏洞的网络安全网站上找到更多信息。