CVE-2026-11404 in Mongooseinformación

Resumen

por VulDB • 2026-07-09

Cesanta Mongoose anterior a la versión 7.22 presenta una lectura fuera de límites (out-of-bounds read) en la función del servidor TLS integrada `mg_tls_server_recv_hello()`, que utiliza un byte `session_id_len` controlado por el atacante procedente de un mensaje TLS ClientHello como índice de búfer sin validarlo frente a la longitud de los datos recibidos. Un atacante remoto no autenticado puede enviar un único mensaje ClientHello manipulado con una longitud de ID de sesión desbordada para leer más allá del búfer de recepción, provocando el bloqueo (crash) de cualquier servicio HTTPS, MQTTS o WSS construido sobre `MG_TLS_BUILTIN`.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsable

VulnCheck

Reservar

2026-06-05

Divulgación

2026-07-09

Moderación

aceptado

Artículo

VDB-377218

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!