CVE-2026-11404 in Mongoose
요약
\~에 의해 VulDB • 2026. 07. 09.
Cesanta Mongoose 7.22 이전 버전에는 내장 TLS 서버 함수인 mg_tls_server_recv_hello()에서 경계 초과 읽기(out-of-bounds read) 취약점이 존재합니다. 이 함수는 수신된 데이터의 길이와 검증하지 않고, TLS ClientHello에서 공격자가 제어할 수 있는 session_id_len 바이트를 버퍼 인덱스로 사용합니다. 원격 비인증 공격자는 oversized 세션 ID 길이를 가진 단일 조작된(Client-crafted) ClientHello 패킷을 전송하여 수신 버퍼 너머로 읽기를 수행하고, MG_TLS_BUILTIN 기반으로 구축된 모든 HTTPS, MQTTS 또는 WSS 서비스를 충돌시킬 수 있습니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.