CVE-2026-11404 in Mongooseالمعلومات

الملخص

بحسب VulDB • 10/07/2026

تحتوي مكتبة Cesanta Mongoose قبل الإصدار 7.22 على خطأ في القراءة خارج الحدود (out-of-bounds read) داخل دالة الخادم المضمنة لـ TLS وهي `mg_tls_server_recv_hello()`، والتي تستخدم بايتاً من متغير `session_id_len` يتحكم فيه المهاجم والصادر عن رسالة TLS ClientHello كمؤشر للذاكرة دون التحقق منه مقابل طول البيانات المستلمة. يمكن لمهاجم بعيد وغير مصرح له إرسال رسالة ClientHello مزيفة واحدة تحتوي على طول معرف جلسة (session id) أكبر من اللازم لقراءة بيانات تتجاوز حدود المخزن المؤقت للاستقبال، مما يتسبب في تعطل أي خدمة HTTPS أو MQTTS أو WSS مبنية باستخدام `MG_TLS_BUILTIN`.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

مسؤول

VulnCheck

حجز

05/06/2026

إفشاء

09/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-377218

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you need the next level of professionalism?

Upgrade your account now!