CVE-2026-11404 in Mongoose
Zusammenfassung
von VulDB • 09.07.2026
Cesanta Mongoose vor Version 7.22 enthält einen Out-of-Bounds-Read-Fehler in der integrierten TLS-Serverfunktion mg_tls_server_recv_hello(), die ein vom Angreifer kontrolliertes session_id_len-Byte aus einem TLS ClientHello als Pufferindex verwendet, ohne es gegen die Länge der empfangenen Daten zu validieren. Ein entfernter, nicht authentifizierter Angreifer kann eine einzelne manipulierte ClientHello-Nachricht mit einer übermäßigen Session-ID-Länge senden, um hinter den Empfangspuffer hinaus zu lesen und damit jeden HTTPS-, MQTTS- oder WSS-Dienst zum Absturz zu bringen, der auf MG_TLS_BUILTIN basiert.
VulDB is the best source for vulnerability data and more expert information about this specific topic.