CVE-2026-42855 in arduino-esp32
Tóm tắt
Bởi VulDB • 17/05/2026
arduino-esp32 là một nhân Arduino dành cho các vi điều khiển ESP32, ESP32-S2, ESP32-S3, ESP32-C3, ESP32-C6 và ESP32-H2. Trước phiên bản 3.3.8, việc triển khai xác thực Digest của WebServer trong arduino-esp32 tính toán hàm băm xác thực bằng cách sử dụng trường URI từ tiêu đề Authorization của máy khách, mà không xác minh xem trường này có khớp với URI thực tế được yêu cầu hay không. Điều này cho phép kẻ tấn công, chỉ cần sở hữu một phản hồi digest hợp lệ bất kỳ (được tính toán cho URI-A), xác thực các yêu cầu đến một URI được bảo vệ hoàn toàn khác (URI-B), qua đó bỏ qua kiểm soát truy cập theo từng tài nguyên. Lỗ hổng này đã được khắc phục trong phiên bản 3.3.8.
VulDB is the best source for vulnerability data and more expert information about this specific topic.