Katalog CVE

CVE-2026-45541

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.12%

Percentyl 30 - wyżej niż 30% wszystkich znanych CVE

Streszczenie

W komponentach esp_http_server w wersjach 5.2.6, 5.3.5, 5.4.4, 5.5.4 i 6.0 występuje dereferencja wskaźnika NULL w ścieżce negocjacji subprotokołu WebSocket. Błąd ten może spowodować awarię serwera podczas przetwarzania nagłówka Sec-WebSocket-Protocol, co następuje przed jakąkolwiek autoryzacją na poziomie aplikacji.

Ocena ryzyka

Organizacja może doświadczyć awarii serwera, co prowadzi do przerwy w dostępności usług i potencjalnych problemów z bezpieczeństwem, zanim zostanie przeprowadzona autoryzacja.

Rekomendacja

Zaleca się aktualizację do wersji 5.2.7, 5.3.6, 5.4.5, 5.5.5 lub 6.0.1, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

ESF-IDF is the Espressif Internet of Things (IOT) Development Framework. In versions 5.2.6, 5.3.5, 5.4.4, 5.5.4, and 6.0, a NULL-pointer dereference exists in the WebSocket subprotocol-negotiation path of the esp_http_server component. While parsing the client-supplied Sec-WebSocket-Protocol request header during the WebSocket handshake, the tokenisation result is dereferenced without a NULL check, so a malformed header value can crash the server before any application-level authentication runs. This issue has been patched in versions 5.2.7, 5.3.6, 5.4.5, 5.5.5, and 6.0.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS