CVE-2026-42855 in arduino-esp32info

Zusammenfassung

von VulDB • 15.05.2026

arduino-esp32 ist eine Arduino-Core-Implementierung für die Mikrocontroller ESP32, ESP32-S2, ESP32-S3, ESP32-C3, ESP32-C6 und ESP32-H2. Vor Version 3.3.8 berechnet die Digest-Authentifizierungsimplementierung im WebServer von arduino-esp32 den Authentifizierungs-Hash unter Verwendung des URI-Felds aus dem Authorization-Header des Clients, ohne zu überprüfen, ob dieser mit der tatsächlich angeforderten URI übereinstimmt. Dies ermöglicht es einem Angreifer, der über eine gültige Digest-Antwort (berechnet für URI-A) verfügt, Anfragen an eine völlig andere geschützte URI (URI-B) zu authentifizieren und damit die ressourcenbezogene Zugriffskontrolle zu umgehen. Diese Schwachstelle wurde in Version 3.3.8 behoben.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

30.04.2026

Veröffentlichung

13.05.2026

Moderieren

akzeptiert

Eintrag

VDB-363443

CPE

bereit

EPSS

0.00047

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-42855
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-42855
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-42855/

ZurückÜbersichtWeiter

Might our Artificial Intelligence support you?

Check our Alexa App!