製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

CesantaのMongooseにおける複数の脆弱性

タイトル	CesantaのMongooseにおける複数の脆弱性
概要	Cesanta Mongoose バージョン7.20までに脆弱性が確認されています。この脆弱性は、ファイル/src/net_builtin.cの関数handle_opt内にあるTCPオプションハンドラのコンポーネントに影響を及ぼします。引数optlenの操作によって無限ループが発生します。この攻撃はリモートで実行可能です。エクスプロイトコードが公開されており、攻撃に利用される可能性があります。バージョン7.21へのアップグレードによってこの問題は解決されます。影響を受けるコンポーネントのアップグレードを推奨します。VulDBはベンダーに早期に連絡し、すでにこの問題が修正されたことを確認しています。
想定される影響	当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。また、当該ソフトウェアが扱う情報について、書き換えは発生しません。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年4月25日0:00
登録日	2026年5月1日10:41
最終更新日	2026年5月1日10:41

CVSS3.0 : 重要
スコア	7.5
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

CVSS2.0 : 警告
スコア	5
ベクター	AV:N/AC:L/Au:N/C:N/I:N/A:P

影響を受けるシステム

Cesanta

Mongoose 7.0 以上 7.21 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-6985	https://www.cve.org/CVERecord?id=CVE-2026-6985
National Vulnerability Database (NVD)
2	CVE-2026-6985	https://nvd.nist.gov/vuln/detail/CVE-2026-6985

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-404	https://cwe.mitre.org/data/definitions/404.html
2	CWE-835	https://cwe.mitre.org/data/definitions/835.html

ベンダー情報

No	名前	URL
GitHub
1	CVEs/Mongoose/TCP_opt_dos.md at main dwBruijn/CVEs GitHub	https://github.com/dwBruijn/CVEs/blob/main/Mongoose/TCP_opt_dos.md
VulDB
2	https://vuldb.com/submit/796230	https://vuldb.com/submit/796230
3	https://vuldb.com/vuln/359528	https://vuldb.com/vuln/359528

その他

No	名前	URL
関連文書
1	Release 7.21 cesanta/mongoose GitHub	https://github.com/cesanta/mongoose/releases/tag/7.21

変更履歴

No	変更内容	変更日
1	[2026年05月01日] 掲載	2026年5月1日10:41

NVD脆弱性情報

CVE-2026-6985

概要	A weakness has been identified in Cesanta Mongoose up to 7.20. This vulnerability affects the function handle_opt of the file /src/net_builtin.c of the component TCP Option Handler. This manipulation of the argument optlen causes infinite loop. The attack is possible to be carried out remotely. The exploit has been made available to the public and could be used for attacks. Upgrading to version 7.21 is able to resolve this issue. Upgrading the affected component is advised. VulDB has contacted the vendor early and they confirmed quickly, that this issue got fixed already.
公表日	2026年4月26日2:16
登録日	2026年4月26日4:07
最終更新日	2026年4月30日4:05

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:cesanta:mongoose::::::::		7.0			7.21

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/cesanta/mongoose/releases/tag/7.21	cna@vuldb.com
2	https://github.com/dwBruijn/CVEs/blob/main/Mongoose/TCP_opt_dos.md	cna@vuldb.com
3	https://vuldb.com/submit/796230	cna@vuldb.com
4	https://vuldb.com/vuln/359528	cna@vuldb.com
5	https://vuldb.com/vuln/359528/cti	cna@vuldb.com

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-835	無限ループ	https://cwe.mitre.org/data/definitions/835.html
2	CWE-404	リソースの不適切なシャットダウンおよびリリース	https://cwe.mitre.org/data/definitions/404.html