CVE-2026-45541
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 30 - wyżej niż 30% wszystkich znanych CVE
Streszczenie
W komponentach esp_http_server w wersjach 5.2.6, 5.3.5, 5.4.4, 5.5.4 i 6.0 występuje dereferencja wskaźnika NULL w ścieżce negocjacji subprotokołu WebSocket. Błąd ten może spowodować awarię serwera podczas przetwarzania nagłówka Sec-WebSocket-Protocol, co następuje przed jakąkolwiek autoryzacją na poziomie aplikacji.
Ocena ryzyka
Organizacja może doświadczyć awarii serwera, co prowadzi do przerwy w dostępności usług i potencjalnych problemów z bezpieczeństwem, zanim zostanie przeprowadzona autoryzacja.
Rekomendacja
Zaleca się aktualizację do wersji 5.2.7, 5.3.6, 5.4.5, 5.5.5 lub 6.0.1, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
ESF-IDF is the Espressif Internet of Things (IOT) Development Framework. In versions 5.2.6, 5.3.5, 5.4.4, 5.5.4, and 6.0, a NULL-pointer dereference exists in the WebSocket subprotocol-negotiation path of the esp_http_server component. While parsing the client-supplied Sec-WebSocket-Protocol request header during the WebSocket handshake, the tokenisation result is dereferenced without a NULL check, so a malformed header value can crash the server before any application-level authentication runs. This issue has been patched in versions 5.2.7, 5.3.6, 5.4.5, 5.5.5, and 6.0.1.

