CVE-2026-42854

Nome do Software Vulnerável e Versões Afetadas arduino-esp32 versões anteriores a 3.3.8

Descrição O analisador de formulários multipart do WebServer aloca um Variable Length Array (VLA)—um array cujo tamanho é determinado em tempo de execução—na pilha. O tamanho deste array é derivado do parâmetro boundary dentro do campo de cabeçalho HTTP Content-Type sem qualquer imposição de limite de comprimento. Um invasor pode enviar uma string de limite superior a aproximadamente 8000 caracteres para estourar a pilha de tarefa de 8192 bytes da função loopTask(), causando a falha do sistema e potencial execução remota de código.

Recomendações Atualizar para a versão 3.3.8.