Plattform
c
Komponente
wolfssl
Behoben in
5.9.1
CVE-2026-5448 represents a Buffer Overflow vulnerability discovered within the wolfSSL library, specifically concerning the parsing of X.509 certificate date fields (notAfter/notBefore). Successful exploitation could potentially lead to denial of service or, in certain scenarios, arbitrary code execution. This vulnerability impacts versions of wolfSSL ranging from 0.0.0 up to and including 5.9.1, but is only triggered when directly calling the affected APIs. A patch is available in version 5.9.1.
CVE-2026-5448 betrifft wolfSSL, insbesondere die Funktionen wolfSSLX509notAfter und wolfSSLX509notBefore. Diese Schwachstelle ist ein Pufferüberlauf, der auftreten kann, wenn Datumsfelder in speziell präparierten X.509-Zertifikaten analysiert werden. Es ist wichtig zu beachten, dass diese Schwachstelle keine TLS-Operationen oder die Zertifikatsverifizierung innerhalb von wolfSSL beeinträchtigt. Das Risiko beschränkt sich auf Anwendungen, die diese beiden Kompatibilitäts-API direkt aufrufen. Ein Angreifer könnte diese Schwachstelle möglicherweise ausnutzen, um einen Denial-of-Service-Zustand auszulösen oder, in komplexeren Szenarien, die Integrität der Anwendung zu gefährden.
Die Ausnutzung von CVE-2026-5448 erfordert, dass eine Anwendung die Funktionen wolfSSLX509notAfter oder wolfSSLX509notBefore direkt mit einem speziell präparierten X.509-Zertifikat aufruft, das übermäßig lange Datumsfelder enthält. Da die Schwachstelle keine Standard-TLS-Operationen beeinträchtigt, müsste ein Angreifer die Zertifikateingabe für die Anwendung kontrollieren, um sie auszunutzen. Dies könnte der Fall sein, wenn die Anwendung Zertifikate von einer nicht vertrauenswürdigen Quelle herunterlädt oder wenn ein Angreifer ein bösartiges Zertifikat in den Datenstrom einschleusen kann. Das Fehlen eines KEV (Knowledge Enhancement Vector) deutet auf begrenzte Informationen bezüglich der Ausnutzung hin.
Exploit-Status
EPSS
0.02% (4% Perzentil)
CISA SSVC
Die primäre Abhilfemaßnahme für CVE-2026-5448 ist ein Upgrade auf wolfSSL Version 5.9.1 oder höher. Diese Version enthält die Korrektur, die den Pufferüberlauf verhindert. Wenn ein sofortiges Upgrade nicht möglich ist, wird empfohlen, die direkte Verwendung der Funktionen wolfSSLX509notAfter und wolfSSLX509notBefore im Anwendungscode zu vermeiden. Verwenden Sie stattdessen die höherwertigen Funktionen von wolfSSL, die die Zertifikatsverifizierung sicher handhaben. Das Überwachen von Zertifikatsquellen und die Validierung der Zertifikatsintegrität können ebenfalls dazu beitragen, das Risiko zu mindern.
Actualice a la versión 5.9.1 o superior de wolfSSL para mitigar el riesgo de desbordamiento de búfer. La actualización corrige la vulnerabilidad al validar correctamente la longitud de los campos de fecha en los certificados X.509, previniendo la ejecución de código malicioso.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Nicht direkt. Die Schwachstelle beeinträchtigt keine Standard-TLS-Operationen in wolfSSL, sodass Webanwendungen, die wolfSSL für TLS verwenden, nicht anfällig sind, es sei denn, sie verwenden die betroffenen Funktionen direkt.
Vermeiden Sie die direkte Verwendung von wolfSSLX509notAfter und wolfSSLX509notBefore. Verwenden Sie die höherwertigen Funktionen von wolfSSL für die Zertifikatsverifizierung.
Derzeit gibt es keine speziellen Tools, um diese Schwachstelle zu erkennen. Eine manuelle Code-Überprüfung wird empfohlen, um die direkte Verwendung der betroffenen Funktionen zu identifizieren.
KEV (Knowledge Enhancement Vector) ist ein Identifikator, der Informationen über die Ausnutzung einer Schwachstelle liefert. Das Fehlen eines KEV deutet auf begrenzte Informationen bezüglich der Ausnutzung hin.
Überprüfen Sie die in Ihrem Projekt verwendete wolfSSL-Version. Wenn sie älter als Version 5.9.1 ist, ist sie anfällig und sollte aktualisiert werden.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.