平台
other
组件
mongoose
修复版本
7.0.1
7.1.1
7.2.1
7.3.1
7.4.1
7.5.1
7.6.1
7.7.1
7.8.1
7.9.1
7.10.1
7.11.1
7.12.1
7.13.1
CVE-2026-5246 是 Cesanta Mongoose 7.0 到 7.20 版本中存在的一个授权绕过漏洞。该漏洞位于 mongoose.c 文件的 mgtlsverifycertsignature 函数中,属于 P-384 公钥处理程序组件。远程攻击者可以通过精心构造的请求绕过身份验证,从而可能执行未授权的操作。受影响的版本包括 7.0 到 7.20。此问题已在 7.21 版本中修复,建议用户尽快升级。
在Mongoose 7.20及以前的版本中发现了一个漏洞,影响到P-384 Public Key Handler组件(mongoose.c文件)中的mgtlsverifycertsignature函数。此缺陷可能导致授权绕过。问题在于TLS证书签名验证过程,攻击者可能能够提交恶意的证书并获得未经授权的访问权限。攻击被认为是高度复杂的,需要对TLS协议和Mongoose实现有深入的了解。虽然利用被认为具有挑战性,但漏洞的公开披露意味着如果未采取纠正措施,则可能被利用。
该漏洞可以远程利用,这意味着攻击者不需要访问受影响的系统。攻击包括提交一个被操纵的TLS证书,由于mgtlsverifycertsignature函数中的缺陷,该证书通过了签名验证。攻击的复杂性在于需要生成一个有效但恶意的证书,以及欺骗系统接受它的能力。漏洞的公开披露增加了开发和利用漏洞的风险。
Applications utilizing Cesanta Mongoose versions 7.0 through 7.20, particularly those handling sensitive data or critical functionality, are at risk. Systems with publicly exposed Mongoose instances are especially vulnerable. Organizations relying on Mongoose for TLS/SSL termination or authentication should prioritize patching.
disclosure
漏洞利用状态
EPSS
0.06% (19% 百分位)
CISA SSVC
CVSS 向量
针对此漏洞的建议缓解措施是升级到Mongoose版本7.21。此版本包含直接解决TLS证书签名验证问题的修复程序。强烈建议尽快应用此更新以保护您的系统。此外,请审查Mongoose应用程序中的TLS安全配置,以确保遵循最佳实践并正确验证证书。监控系统日志以查找可疑活动也有助于检测和响应潜在攻击。
Actualice la biblioteca Cesanta Mongoose a la versión 7.21 o posterior. Esta actualización corrige una vulnerabilidad de omisión de autorización en la función mg_tls_verify_cert_signature del archivo mongoose.c. La actualización está disponible como el parche 0d882f1b43ff2308b7486a56a9d60cd6dba8a3f1.
漏洞分析和关键警报直接发送到您的邮箱。
Mongoose是一个轻量级且快速的Web服务器,非常适合嵌入式设备和物联网应用程序。
升级到版本7.21将修复一个安全漏洞,该漏洞可能允许未经授权访问您的系统。
如果您无法立即升级,请实施额外的安全措施,例如日志监控和审查TLS配置。
除了升级之外,请确保您的TLS证书有效且配置正确。
您可以在安全信息来源(例如CVE-2026-5246)中找到有关此漏洞的更多信息。
7.14.1
7.15.1
7.16.1
7.17.1
7.18.1
7.19.1
7.20.1