Vulnerabilities ›

CVE-2026-23748

Low

CWE-191 — Weakness Type

                    Published: Feb 26, 2026                      ·  Modified: Mar 5, 2026                      ·  Source: NVD                

CVSS v3

3.7

🔗 NVD Official

📄 Description (English)

Golioth Firmware SDK version 0.10.0 prior to 0.22.0, fixed in commit d7f55b38, contain an out-of-bounds read in LightDB State string parsing. When processing a string payload, a payload_size value less than 2 can cause a size_t underflow when computing the number of bytes to copy (nbytes). The subsequent memcpy() reads past the end of the network buffer, which can crash the device. The condition is reachable from on_payload, and golioth_payload_is_null() does not block payload_size==1. A malicious server or MITM can trigger a denial of service.

🤖 AI Executive Summary

Golioth Firmware SDK versions before 0.22.0 contain an out-of-bounds read vulnerability in LightDB State string parsing that can be triggered by malicious servers or MITM attackers. A payload_size value less than 2 causes integer underflow leading to buffer over-read and potential device crash.

📄 Description (Arabic)

تحتوي نسخ Golioth Firmware SDK السابقة للإصدار 0.22.0 على ثغرة قراءة خارج الحدود في معالجة سلاسل حالة LightDB. عندما تكون قيمة payload_size أقل من 2، يحدث underflow في size_t مما يسبب قراءة memcpy() خارج نهاية مخزن مؤقت الشبكة. يمكن لخادم خبيث أو هجوم MITM تفعيل هذا الشرط لإحداث رفض الخدمة وتعطل الجهاز.

🤖 ملخص تنفيذي (AI)

Golioth Firmware SDK الإصدارات السابقة 0.22.0 تحتوي على ثغرة قراءة خارج الحدود في معالجة سلاسل LightDB State يمكن تفعيلها بواسطة خوادم خبيثة أو هجمات MITM. قيمة payload_size أقل من 2 تسبب underflow صحيح يؤدي إلى قراءة زائدة للمخزن المؤقت وتعطل الجهاز المحتمل.

🤖 AI Intelligence Analysis Analyzed: May 30, 2026 08:01

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: medium

🏢 Affected Saudi Sectors

telecom energy government healthcare

🎯 MITRE ATT&CK Techniques

T1499.004 T1561.002

⚖️ Saudi Risk Score (AI)

5.0

/ 10.0

🔧 Remediation Steps (English)

Update Golioth Firmware SDK to version 0.22.0 or later, or apply commit d7f55b38. Implement network traffic validation and use TLS/MTLS to prevent MITM attacks. Monitor device logs for unexpected crashes and validate all incoming payload sizes before processing.

🔧 خطوات المعالجة (العربية)

قم بتحديث Golioth Firmware SDK إلى الإصدار 0.22.0 أو أحدث، أو طبق commit d7f55b38. قم بتنفيذ التحقق من حركة المرور على الشبكة واستخدم TLS/MTLS لمنع هجمات MITM. راقب سجلات الجهاز للتعطل غير المتوقع والتحقق من جميع أحجام الحمولة الواردة قبل المعالجة.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

A.12.6.1 A.14.2.1

🔵 SAMA CSF

ID.RA-1 PR.DS-1

🟡 ISO 27001:2022

A.12.6.1 A.14.2.1 A.14.2.5

🔗 References & Sources 5

🔗

https://blog.secmate.dev/posts/golioth-vulnerabilities-disclosure/

disclosure@vulncheck.com

🔗

https://github.com/golioth/golioth-firmware-sdk/commit/d7f55b380d8be8b29bd101ce06e421af...

disclosure@vulncheck.com

🔗

https://github.com/golioth/golioth-firmware-sdk/releases/tag/v0.22.0

disclosure@vulncheck.com

🔗

https://secmate.dev/disclosures/SECMATE-2025-0016

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/golioth-firmware-sdk-lightdb-state-out-of-bounds-read

disclosure@vulncheck.com

📊 CVSS Score

3.7

/ 10.0 — Low

📊 CVSS Vector

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L

Attack VectorN — None / Network

Attack ComplexityH — High

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityN — None / Network

IntegrityN — None / Network

AvailabilityL — Low / Local

📋 Quick Facts

Severity Low

CVSS Score3.7

CWECWE-191

Exploit No

Patch ✗ No

Published 2026-02-26

Source Feed nvd

🇸🇦 Saudi Risk Score

5.0

/ 10.0 — Saudi Risk

Priority: MEDIUM

🏷️ Tags

CWE-191

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 Comments

Loading comments

CVE-2026-23748

💬 Comments

Introduce Yourself

Sign In Required