製品・ソフトウェアに関する情報
Vulnerability Search
CesantaのMongooseにおける複数の脆弱性
Title CesantaのMongooseにおける複数の脆弱性
Summary

Cesanta Mongoose 7.20までにセキュリティ脆弱性が検出されました。この問題はコンポーネントGCM認証タグハンドラのファイル/src/tls_aes128.c内の関数mg_aes_gcm_decryptに影響を与えます。この種の問題は暗号署名の不適切な検証を引き起こします。攻撃はリモートから実行可能です。攻撃の複雑さは高いレベルと見なされています。攻撃の実現可能性は困難であると評価されています。この脆弱性の悪用事例は公開されており、利用される可能性があります。バージョン7.21へのアップグレードによってこの問題を解決できます。影響を受けるコンポーネントのアップグレードを推奨します。VulDBはベンダーに早期連絡を行い、迅速に本問題の修正を確認しました。

Possible impacts 当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 
Solution

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Publication Date April 25, 2026, midnight
Registration Date May 1, 2026, 10:41 a.m.
Last Update May 1, 2026, 10:41 a.m.
CVSS3.0 : 低
Score 3.7
Vector CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N
CVSS2.0 : 注意
Score 2.6
Vector AV:N/AC:H/Au:N/C:N/I:P/A:N
Affected System
Cesanta
Mongoose 7.0 以上 7.21 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
1 [2026年05月01日]
  掲載		 May 1, 2026, 10:41 a.m.
NVD Vulnerability Information
CVE-2026-6986
Summary

A security vulnerability has been detected in Cesanta Mongoose up to 7.20. This issue affects the function mg_aes_gcm_decrypt of the file /src/tls_aes128.c of the component GCM Authentication Tag Handler. Such manipulation leads to improper verification of cryptographic signature. The attack may be performed from remote. A high complexity level is associated with this attack. The exploitability is assessed as difficult. The exploit has been disclosed publicly and may be used. Upgrading to version 7.21 is capable of addressing this issue. It is advisable to upgrade the affected component. VulDB has contacted the vendor early and they confirmed quickly, that this issue got fixed already.

Publication Date April 26, 2026, 2:16 a.m.
Registration Date April 26, 2026, 4:07 a.m.
Last Update April 29, 2026, 10 a.m.
Related information, measures and tools
Common Vulnerabilities List