根据用户的要求,我需要从提供的网页截图中提取关于漏洞的关键信息,并用简洁的中文Markdown格式进行总结。 1. 漏洞概述 (Vulnerability Overview): 标题: Submit #770104: Cesanta Mongoose 7.20 Authorization Bypass 描述: 这是一个关于 库(版本 v7.20)的漏洞。具体涉及 函数。该函数在检查证书颁发机构(CA)是否拥有 P-384 公钥(96字节)时存在逻辑错误,直接返回 1(表示验证通过),而没有进行实际检查。这意味着任何客户端证书都会被 mTLS 服务器接受。 CVE ID: 页面未直接显示 CVE ID,但提到了 "Cesanta Mongoose 7.20 Authorization Bypass"。 2. 影响范围 (Impact): 影响: mTLS 基于的授权绕过 (mTLS based authentication bypass)。 受影响版本: Mongoose v7.20 (根据标题和描述推断)。 3. 修复方案 (Remediation): 披露状态: 供应商于 2 月 26 日联系并确认了该漏洞 (Vendor contacted Feb 26 and CONFIRMED the vulnerability)。 修复链接: 页面提供了一个 GitHub 链接指向修复提交: 。 4. POC/利用代码 (Exploit Code): 页面底部包含一段 Python 代码,用于演示如何利用该漏洞。 代码片段: (注意:截图只显示了代码的开头部分,没有完整的利用逻辑,但我需要提取可见的部分)。 5. 整理输出: 将上述信息整合成用户要求的格式。 标题: Cesanta Mongoose 7.20 授权绕过漏洞 概述: 函数在验证证书签名时存在缺陷,未正确检查 CA 的 P-384 公钥(96字节),直接返回成功(1)。这导致 mTLS 服务器接受任何客户端证书。 影响: mTLS 认证绕过。 修复: 供应商已确认漏洞。修复代码位于 GitHub 仓库 第 14080 行附近。 代码: 提取底部的 Python 代码片段。 最终检查: 是否简洁?是。 是否包含关键信息?是。 是否提取了代码?是。 是否跳过了无关信息?是。 开始生成最终回复。 Cesanta Mongoose 7.20 授权绕过漏洞总结 漏洞概述 漏洞名称: Cesanta Mongoose 7.20 Authorization Bypass (授权绕过) 描述: 在 Mongoose v7.20 中,函数 存在逻辑缺陷。该函数在检查证书颁发机构(CA)是否拥有 P-384 公钥(96字节)时,未进行实际验证即直接返回 1(表示通过)。这导致 mTLS 服务器会接受任何客户端证书,从而绕过身份验证。 相关链接: GitHub 修复提交 影响范围 受影响组件: Cesanta Mongoose 库 (v7.20) 后果: mTLS 基于的认证绕过 (mTLS based authentication bypass)。 修复方案 状态: 供应商已于 2 月 26 日联系并确认了该漏洞。 建议: 更新到修复后的版本(参考 GitHub 链接中的代码变更)。 POC/利用代码片段**