Plattform
c
Komponente
wolfssl
Behoben in
5.9.1
A critical buffer overflow vulnerability (CVE-2026-5295) has been identified in wolfSSL, specifically within the PKCS7 decryption process. This flaw allows attackers to exploit a stack buffer overflow by crafting malicious CMS EnvelopedData messages. The vulnerability impacts versions 0.0.0 through 5.9.1 of wolfSSL and has been publicly disclosed on 2026-04-09. A fix is available in version 5.9.1.
CVE-2026-5295 in wolfSSL stellt eine Pufferüberlaufschwachstelle innerhalb der Funktion wcPKCS7DecryptOri() der PKCS7-Implementierung dar. Dies tritt auf, wenn CMS EnvelopedData-Nachrichten verarbeitet werden, die einen OtherRecipientInfo (ORI)-Empfänger enthalten. Die Funktion kopiert einen ASN.1-analysierten OID in einen festen 32-Byte-Stapelspeicher (oriOID[MAXOIDSZ]) mit XMEMCPY, ohne vorher zu überprüfen, ob die Länge des analysierten OID 32 Bytes nicht überschreitet. Ein Angreifer könnte dies ausnutzen, indem er eine bösartige CMS EnvelopedData-Nachricht mit einem ORI-Empfänger erstellt, der einen OID enthält, der länger als 32 Bytes ist. Dies könnte zur Ausführung von beliebigem Code, zu einer Denial-of-Service-Attacke oder zur Offenlegung vertraulicher Informationen führen, abhängig vom Anwendungskontext, der wolfSSL verwendet.
Diese Schwachstelle ist besonders besorgniserregend in Systemen, die wolfSSL für die sichere Kommunikation verwenden, wie z. B. Webserver, IoT-Geräte und mobile Anwendungen. Angreifer könnten dies nutzen, um verschlüsselte Kommunikationen abzufangen und zu entschlüsseln, die Datenintegrität zu gefährden und unbefugten Zugriff auf sensible Systeme zu erhalten. Die Komplexität von CMS EnvelopedData-Nachrichten und die Art der PKCS7-Implementierung erschweren die Erkennung dieser Schwachstelle ohne sorgfältige Inspektion des Quellcodes oder die Verwendung von Sicherheitstools. Das Fehlen eines KEV (Knowledge Enhancement Vector) deutet auf begrenzte Informationen über die reale Ausnutzung hin, aber das potenzielle Risiko erfordert sofortige Aufmerksamkeit.
Systems utilizing wolfSSL in applications handling encrypted data, particularly those dealing with CMS EnvelopedData messages, are at risk. This includes embedded systems, IoT devices, and network appliances. Applications relying on wolfSSL for secure communication are especially vulnerable if they do not perform adequate input validation.
• linux / server:
journalctl -g "wolfSSL" -f | grep -i "buffer overflow"• c:
Review the pkcs7.c file for the vulnerable wcPKCS7DecryptOri() function and ensure it's been patched. Use static analysis tools to identify potential buffer overflow vulnerabilities.
• generic web:
Monitor network traffic for unusual CMS EnvelopedData messages with excessively long OIDs. Examine application logs for errors related to ASN.1 parsing or memory allocation.
disclosure
Exploit-Status
EPSS
0.02% (5% Perzentil)
CISA SSVC
Die primäre Abhilfemaßnahme für CVE-2026-5295 ist das Upgrade auf wolfSSL-Version 5.9.1 oder höher. Diese Version enthält eine Korrektur, die die OID-Länge validiert, bevor sie in den Stapelspeicher kopiert wird, wodurch der Überlauf verhindert wird. Wenn ein sofortiges Upgrade nicht möglich ist, sollten Sie alternative Sicherheitsmaßnahmen in Betracht ziehen, z. B. Web Application Firewalls (WAFs), um bösartige CMS EnvelopedData-Nachrichten zu filtern, oder die Implementierung einer strengeren Eingabevalidierung, um die OID-Längen zu überprüfen, bevor sie verarbeitet werden. Bewerten Sie sorgfältig die Auswirkungen dieser alternativen Maßnahmen auf die Systemleistung und -funktionalität.
Actualice a la versión 5.9.1 o posterior de wolfSSL para mitigar la vulnerabilidad de desbordamiento de búfer en la pila. Asegúrese de que la biblioteca se compile con --enable-pkcs7 desactivado a menos que sea absolutamente necesario, y si se utiliza, registre un callback de descifrado ORI personalizado.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
PKCS7 (Public-Key Cryptography Standards #7) ist ein Standard für das Format verschlüsselter Daten und digitaler Signaturen.
CMS EnvelopedData ist eine Art von PKCS7-Nachricht, die zum Verschlüsseln von Daten für einen oder mehrere Empfänger verwendet wird.
Version 5.9.1 von wolfSSL enthält eine Korrektur, die die Pufferüberlaufschwachstelle mildert.
Erwägen Sie, alternative Sicherheitsmaßnahmen zu implementieren, z. B. die Verwendung einer WAF oder einer Eingabevalidierung.
Derzeit gibt es keinen KEV, was darauf hindeutet, dass es keine öffentlichen Informationen über die aktive Ausnutzung gibt, aber das potenzielle Risiko erfordert Aufmerksamkeit.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.