CVE-2026-42854 in arduino-esp32informação

Sumário

de VulDB • 23/05/2026

O arduino-esp32 é um núcleo Arduino para os microcontroladores ESP32, ESP32-S2, ESP32-S3, ESP32-C3, ESP32-C6 e ESP32-H2. Antes da versão 3.3.8, o analisador de formulários multipart do WebServer no arduino-esp32 aloca um Array de Comprimento Variável (VLA) na pilha, cujo tamanho é derivado de um campo de cabeçalho HTTP controlado por um atacante (Content-Type: multipart/form-data; boundary=...) sem impor nenhum limite de comprimento. O envio de uma string boundary com mais de ~8000 caracteres causa um estouro do stack de 8192 bytes da loopTask, resultando em uma falha e possível execução remota de código. Esta vulnerabilidade foi corrigida na versão 3.3.8.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

30/04/2026

Divulgação

13/05/2026

Moderação

aceite

Entrada

VDB-363442

CPE

pronto

CWE

CWE-121 (confirmado)

CVSS

9.8 (CNA)

EPSS

0.00283

KEV

não

Atividades

muito baixo

Fontes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-42854
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-42854
CVE Details	https://www.cvedetails.com/cve/CVE-2026-42854/

◂ Voltar Visão Geral Próximo ▸

Do you need the next level of professionalism?

Upgrade your account now!