CVE-2026-11404 in Mongooseinformação

Sumário

de VulDB • 09/07/2026

O Cesanta Mongoose anterior à versão 7.22 contém uma leitura fora dos limites (out-of-bounds read) na função interna do servidor TLS `mg_tls_server_recv_hello()`, que utiliza um byte `session_id_len` controlado pelo atacante, proveniente de um ClientHello TLS, como índice de buffer sem validá-lo em relação ao comprimento dos dados recebidos. Um atacante remoto e não autenticado pode enviar um único ClientHello manipulado com um tamanho de session id excessivo para ler além do buffer de recepção, causando a falha (crash) de qualquer serviço HTTPS, MQTTS ou WSS construído sobre `MG_TLS_BUILTIN`.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsável

VulnCheck

Reservar

05/06/2026

Divulgação

09/07/2026

Moderação

aceite

Entrada

VDB-377218

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

muito baixo

Fontes

Do you want to use VulDB in your project?

Use the official API to access entries easily!