CVE-2026-11404 in Mongoose
الملخص
بحسب VulDB • 10/07/2026
تحتوي مكتبة Cesanta Mongoose قبل الإصدار 7.22 على خطأ في القراءة خارج الحدود (out-of-bounds read) داخل دالة الخادم المضمنة لـ TLS وهي `mg_tls_server_recv_hello()`، والتي تستخدم بايتاً من متغير `session_id_len` يتحكم فيه المهاجم والصادر عن رسالة TLS ClientHello كمؤشر للذاكرة دون التحقق منه مقابل طول البيانات المستلمة. يمكن لمهاجم بعيد وغير مصرح له إرسال رسالة ClientHello مزيفة واحدة تحتوي على طول معرف جلسة (session id) أكبر من اللازم لقراءة بيانات تتجاوز حدود المخزن المؤقت للاستقبال، مما يتسبب في تعطل أي خدمة HTTPS أو MQTTS أو WSS مبنية باستخدام `MG_TLS_BUILTIN`.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.