CVE-2026-11404 in Mongooseinformazioni

Riassunto

di VulDB • 10/07/2026

Cesanta Mongoose prima della versione 7.22 presenta una lettura fuori dai limiti (out-of-bounds read) nella funzione del server TLS integrata mg_tls_server_recv_hello(), che utilizza un byte session_id_len controllato dall'attaccante proveniente da un messaggio TLS ClientHello come indice di buffer senza convalidarlo rispetto alla lunghezza dei dati ricevuti. Un attaccante remoto non autenticato può inviare un singolo messaggio ClientHello manipolato ad hoc con una lunghezza dell'id della sessione eccessiva per leggere oltre il buffer di ricezione, causando l'arresto anomalo (crash) di qualsiasi servizio HTTPS, MQTTS o WSS basato su MG_TLS_BUILTIN.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

VulnCheck

Prenotare

05/06/2026

Divulgazione

09/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Do you know our Splunk app?

Download it now for free!