关键漏洞信息 漏洞描述 漏洞名称: Mongoose TLS ChaCha20-Poly1305 Authentication Tag Not Verified 受影响的文件: 中的 函数 根本原因: 加密函数正确生成 Poly1305 标签,但解密函数从不验证它 安全威胁: 导致 TLS 连接中数据篡改攻击的完全未认证 漏洞细节 厂商: Cesanta 受影响的产品: Mongoose Embedded Web Server / Networking Library 受影响版本: 7.20 及所有以前的版本 漏洞类型: - 未正确验证加密签名 (CWE-347) - 缺失必要的加密步骤 (CWE-325) CVE ID: Requested 报告人: dwbruijn 类似漏洞 CVE-2023-40271: Trusted Firmware-M CryptoCell ChaCha20-Poly1305 部分标签验证,Mongoose 仅检查零字节 示例代码 受影响代码: 修复代码: 漏洞触发 创建一个 目录,在 Mongoose 代码库目录中复制 并运行以下命令: 潜在影响 直接后果: - 位翻转攻击 - 选择性数据篡改 - 凭据和会话劫持 - 恶意命令注入 - 安全感错误