Plataforma
c
Componente
wolfssl
Corregido en
5.9.1
La vulnerabilidad CVE-2026-5194 afecta a las versiones 3.12.0 a 5.9.1 de la biblioteca wolfSSL. Esta falla se debe a la ausencia de verificaciones adecuadas del tamaño del hash y del OID durante la verificación de certificados ECDSA. La consecuencia es que digests de certificados ECDSA más pequeños de lo esperado pueden ser aceptados, lo que debilita la seguridad de la autenticación basada en certificados, especialmente si la clave pública de la Autoridad de Certificación (CA) también es conocida.
Un atacante podría aprovechar esta vulnerabilidad para realizar ataques de suplantación de identidad (man-in-the-middle) en sistemas que utilizan la autenticación basada en certificados ECDSA. Al presentar un certificado con un digest más pequeño, el atacante podría eludir la verificación de la firma y hacerse pasar por una entidad legítima. Esto podría permitir el acceso no autorizado a datos confidenciales o la ejecución de código malicioso. El riesgo se agrava si la clave pública de la CA utilizada para firmar los certificados es también accesible al atacante, ya que esto facilitaría la creación de certificados fraudulentos.
El CVE-2026-5194 fue publicado el 9 de abril de 2026. No se ha reportado explotación activa en entornos reales hasta la fecha. La probabilidad de explotación se considera baja a moderada, dado que requiere el conocimiento de la clave pública de la CA y la capacidad de generar certificados ECDSA fraudulentos. No se ha añadido a KEV (CISA Known Exploited Vulnerabilities) a la fecha.
Systems relying on wolfSSL for ECDSA certificate-based authentication are at risk, particularly those using a single, widely-distributed CA key. Embedded devices, IoT devices, and applications that perform certificate pinning are especially vulnerable if they use affected versions of wolfSSL.
• linux / server: Examine wolfSSL library logs for errors related to digest size validation during certificate verification. Use journalctl -u wolfssl to filter for relevant log entries.
• c: Review wolfSSL source code (specifically the ECDSA verification functions) for instances where digest sizes are not properly validated. Use a code analysis tool to identify potential vulnerabilities.
• generic web: If wolfSSL is used in a web server's TLS implementation, monitor for unusual certificate chain validation errors in the web server's access and error logs.
disclosure
Estado del Exploit
EPSS
0.04% (10% percentil)
CISA SSVC
La mitigación principal para CVE-2026-5194 es actualizar a la versión 5.9.1 de wolfSSL o superior, donde se ha corregido la vulnerabilidad. Si la actualización inmediata no es posible, se recomienda revisar la configuración de la biblioteca wolfSSL para asegurar que se estén utilizando algoritmos de hash seguros y que se estén aplicando las restricciones de tamaño de hash adecuadas. Además, se debe monitorear el tráfico de red en busca de certificados ECDSA con digests inusualmente pequeños. Una vez aplicada la actualización, verificar la correcta implementación del parche mediante pruebas de validación de certificados ECDSA.
Actualice a la versión 5.9.1 o posterior para mitigar la vulnerabilidad. Esta actualización corrige las comprobaciones faltantes de tamaño y OID de hash/digest, evitando la aceptación de digests ECDSA más pequeños de lo permitido.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-5194 es una vulnerabilidad en wolfSSL que permite la aceptación de digests más pequeños durante la verificación de certificados ECDSA, comprometiendo la autenticación.
Si está utilizando wolfSSL en las versiones 3.12.0 a 5.9.1, es probable que esté afectado. Verifique su versión y aplique la actualización.
Actualice a la versión 5.9.1 de wolfSSL o superior. Si no es posible, revise la configuración y monitoree el tráfico de red.
Hasta la fecha, no se han reportado explotaciones activas en entornos reales, pero la probabilidad de explotación es baja a moderada.
Consulte el sitio web oficial de wolfSSL para obtener información y actualizaciones sobre esta vulnerabilidad: [https://www.wolfssl.com/](https://www.wolfssl.com/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.