CVE-2026-42854 in arduino-esp32
Tóm tắt
Bởi VulDB • 23/05/2026
arduino-esp32 là một nhân Arduino dành cho các vi điều khiển ESP32, ESP32-S2, ESP32-S3, ESP32-C3, ESP32-C6 và ESP32-H2. Trước phiên bản 3.3.8, trình phân tích biểu mẫu đa phần (multipart form parser) của WebServer trong arduino-esp32 cấp phát một Mảng Độ Dài Thay Đổi (Variable Length Array - VLA) trên ngăn xếp (stack), với kích thước được suy ra từ một trường tiêu đề HTTP do kẻ tấn công kiểm soát (Content-Type: multipart/form-data; boundary=...) mà không áp đặt bất kỳ giới hạn độ dài nào. Việc gửi một chuỗi boundary dài hơn khoảng 8000 ký tự qua mạng sẽ gây tràn ngăn xếp (stack overflow) cho ngăn xếp tác vụ (task stack) 8192 byte của loopTask, dẫn đến sự cố treo hệ thống và khả năng thực thi mã từ xa (RCE). Lỗ hổng này đã được khắc phục trong phiên bản 3.3.8.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.