«ignore secp386 for now» — комментарий в коде Mongoose, и P-384 mTLS превращается в декорацию. Heap overflow в TLS-хендшейке даёт preauth RCE до первого HTTP-запроса. Библиотека заявленно работает на сотнях миллионов устройств Siemens, Schneider Electric, Google, Samsung.Три CVE в Mongoose 7.0–7.20: CVE-2026-5244 — heap overflow при парсинге клиентского сертификата, pubkey копируется в 528-байтный буфер без проверки...
Preauth RCE и обход mTLS: разбор уязвимостей Mongoose на миллионах устройств
Источник: codeby.net