CVE-2026-11404 in Mongoose
要約
〜によって VulDB • 2026年07月09日
Cesanta Mongoose 7.22 より前には、組み込み TLS サーバー関数 mg_tls_server_recv_hello() に境界外読み取りの脆弱性が存在します。この関数は、TLS ClientHello から攻撃者が制御可能な session_id_len バイトをバッファインデックスとして使用していますが、受信データの長さに対して検証していません。リモートからの認証不要な攻撃者は、セッション ID の長さが過大であるように作成された単一の ClientHello を送信することで、受信バッファの範囲外を読み取り、MG_TLS_BUILTIN で構築された HTTPS、MQTTS、または WSS サービスをクラッシュさせることができます。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.