Cesanta Mongoose < 7.22 Out-of-Bounds Read in MG_TLS_BUILTIN ClientHello Session-ID Parsing 漏洞概述 Cesanta Mongoose 7.22 之前的版本在内置 TLS 服务器函数 中存在一个越界读取漏洞。该函数使用攻击者控制的 字节从 TLS ClientHello 作为缓冲区索引,而没有验证其是否超过接收数据的长度。远程未经身份验证的攻击者可以发送单个精心制作的 ClientHello,其中包含一个过大的 session id 长度,以读取接收缓冲区,从而崩溃任何基于 MG_TLS_BUILTIN 的 HTTPS、MQTTs 或 WSS 服务。 影响范围 软件: Mongoose < 7.22 CVE: CVE-2026-11404 CWE: CWE-125 Out-of-bounds Read CVSS: 8.7 CVSS v4 Vector: CVSS:4.0/AV:N/AC:N/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N 修复方案 升级到 Mongoose 7.22 或更高版本。 参考链接 Mongoose 7.22 Release Notes Product Patch Commit 贡献者 Shukhratbek Uralimov