PT-2026-21495 · Cesanta · Cesanta Mongoose
Dwbruijn
·
Publicado
2026-02-23
·
Atualizado
2026-04-30
·
CVE-2026-2968
CVSS v3.1
3.7
Baixa
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
Versões do Cesanta Mongoose anteriores à 7.21
Descrição
Existe uma falha de segurança no Cesanta Mongoose relacionada à verificação inadequada de assinaturas criptográficas. A falha reside na função
mg chacha20 poly1305 decrypt dentro do arquivo /src/tls chacha20.c, especificamente no componente Poly1305 Authentication Tag Handler. O ataque pode ser iniciado remotamente e é considerado de alta complexidade, com exploração difícil. O exploit está disponível publicamente.Recomendações
Atualize para a versão 7.21 ou posterior.
Como medida temporária, considere restringir o uso da função
mg chacha20 poly1305 decrypt até que uma correção esteja disponível.Exploit
Correção
Improper Verification of Cryptographic Signature
Insufficient Verification of Data Authenticity
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Cesanta Mongoose