CVE-2026-11404 in Mongoose
Riassunto
di VulDB • 10/07/2026
Cesanta Mongoose prima della versione 7.22 presenta una lettura fuori dai limiti (out-of-bounds read) nella funzione del server TLS integrata mg_tls_server_recv_hello(), che utilizza un byte session_id_len controllato dall'attaccante proveniente da un messaggio TLS ClientHello come indice di buffer senza convalidarlo rispetto alla lunghezza dei dati ricevuti. Un attaccante remoto non autenticato può inviare un singolo messaggio ClientHello manipolato ad hoc con una lunghezza dell'id della sessione eccessiva per leggere oltre il buffer di ricezione, causando l'arresto anomalo (crash) di qualsiasi servizio HTTPS, MQTTS o WSS basato su MG_TLS_BUILTIN.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.