Plateforme
c
Composant
wolfssl
Corrigé dans
5.9.1
La vulnérabilité CVE-2026-5194 affecte les versions de wolfSSL comprises entre 3.12.0 et 5.9.1. Elle réside dans un manque de vérifications de la taille des hachages et des OID lors de la vérification des certificats ECDSA, permettant l'acceptation de digests de taille inappropriée. Cette faille peut compromettre la sécurité de l'authentification basée sur des certificats, en particulier si la clé publique de l'autorité de certification est également compromise.
Un attaquant exploitant cette vulnérabilité pourrait présenter un certificat ECDSA falsifié, en utilisant un digest de taille incorrecte. Si la clé publique de l'autorité de certification est également compromise, l'attaquant pourrait ainsi se faire passer pour une entité légitime et accéder à des ressources protégées. Le risque est particulièrement élevé dans les environnements où la sécurité repose fortement sur l'authentification basée sur des certificats ECDSA. L'impact potentiel inclut la compromission de données sensibles, l'usurpation d'identité et la prise de contrôle de systèmes.
La vulnérabilité CVE-2026-5194 a été rendue publique le 9 avril 2026. Aucune preuve d'exploitation active n'est actuellement disponible. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la complexité de l'attaque et de la nécessité de compromettre la clé publique de l'autorité de certification. Il est conseillé de surveiller les sources d'informations sur les vulnérabilités pour détecter tout développement ultérieur.
Systems relying on wolfSSL for ECDSA certificate-based authentication are at risk, particularly those using a single, widely-distributed CA key. Embedded devices, IoT devices, and applications that perform certificate pinning are especially vulnerable if they use affected versions of wolfSSL.
• linux / server: Examine wolfSSL library logs for errors related to digest size validation during certificate verification. Use journalctl -u wolfssl to filter for relevant log entries.
• c: Review wolfSSL source code (specifically the ECDSA verification functions) for instances where digest sizes are not properly validated. Use a code analysis tool to identify potential vulnerabilities.
• generic web: If wolfSSL is used in a web server's TLS implementation, monitor for unusual certificate chain validation errors in the web server's access and error logs.
disclosure
Statut de l'Exploit
EPSS
0.04% (percentile 10%)
CISA SSVC
La mitigation principale consiste à mettre à jour wolfSSL vers la version 5.9.1 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est recommandé de renforcer les contrôles d'authentification et de surveillance. Si la mise à jour n'est pas immédiatement possible, examinez la configuration de votre application pour limiter l'utilisation de certificats ECDSA si cela est possible. Surveillez attentivement les journaux d'événements pour détecter toute activité suspecte liée à la vérification des certificats.
Mettez à jour vers la version 5.9.1 ou ultérieure pour atténuer la vulnérabilité. Cette mise à jour corrige les vérifications manquantes de la taille et de l'OID du hachage/digest, empêchant l'acceptation de digests ECDSA plus petits que la taille autorisée.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-5194 décrit une vulnérabilité dans wolfSSL, permettant l'acceptation de digests ECDSA de taille incorrecte lors de la vérification des certificats, ce qui peut compromettre l'authentification.
Si vous utilisez wolfSSL dans les versions 3.12.0 à 5.9.1, vous êtes potentiellement affecté. La mise à jour vers la version 5.9.1 ou supérieure est nécessaire.
La solution est de mettre à jour wolfSSL vers la version 5.9.1 ou supérieure. Consultez la documentation officielle de wolfSSL pour les instructions de mise à jour.
À l'heure actuelle, aucune preuve d'exploitation active n'est disponible, mais la probabilité d'exploitation est considérée comme moyenne.
Consultez le site web de wolfSSL ou leur page de sécurité pour l'avis officiel concernant CVE-2026-5194.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.