Plateforme
c
Composant
wolfssl
Corrigé dans
5.9.1
Une vulnérabilité a été découverte dans wolfSSL, affectant les versions de 0.0.0 à 5.9.1. Cette faille permet à un attaquant de contourner la validation des certificats en exploitant une mauvaise gestion des contraintes de nom URI (URI nameConstraints) des certificats intermédiaires. L'impact est la possibilité d'accepter des certificats frauduleux, compromettant la sécurité des communications chiffrées. La correction est disponible dans la version 5.9.1.
Cette vulnérabilité permet à un émetteur de certificat malveillant ou compromis de créer des certificats avec des entrées SAN (Subject Alternative Name) URI qui violent les contraintes de nom de l'autorité de certification (CA) émettrice. wolfSSL, dans les versions vulnérables, ne vérifie pas correctement ces contraintes lors de la validation de la chaîne de certificats. Un attaquant pourrait ainsi présenter un certificat frauduleux comme valide, permettant l'établissement de connexions chiffrées non sécurisées. Cela peut conduire à l'interception de données sensibles, à la compromission de systèmes et à des attaques de l'homme du milieu (man-in-the-middle). Bien que cette vulnérabilité ne permette pas directement l'exécution de code à distance, elle ouvre la porte à des attaques plus complexes en compromettant la confiance dans les certificats numériques.
Cette vulnérabilité n'a pas encore été ajoutée au KEV (Know Exploited Vulnerabilities) de CISA. L'EPSS (Exploit Prediction Scoring System) score est en cours d'évaluation. Aucune preuve d'exploitation active n'est actuellement disponible. La publication de cette vulnérabilité a eu lieu le 2026-04-09. Il est important de surveiller les sources d'informations sur les vulnérabilités pour détecter toute nouvelle information concernant l'exploitation de cette faille.
Applications and systems utilizing wolfSSL for TLS/SSL communication are at risk, particularly those relying on certificate chains issued by constrained intermediate CAs. This includes embedded devices, IoT devices, and server-side applications that process TLS connections. Legacy systems with older wolfSSL versions are particularly vulnerable.
• c / generic web:
curl -I https://example.com | grep -i 'wolfssl/'• c / generic web:
cat /proc/modules | grep wolfssldisclosure
Statut de l'Exploit
EPSS
0.03% (percentile 7%)
CISA SSVC
La mitigation principale consiste à mettre à jour wolfSSL vers la version 5.9.1 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de renforcer les contrôles de validation des certificats au niveau de l'application. Cela peut inclure la vérification manuelle des certificats, l'utilisation de listes de révocation de certificats (CRL) et l'implémentation de politiques de validation de certificats plus strictes. En attendant la mise à jour, il est conseillé de surveiller attentivement les journaux d'événements pour détecter toute activité suspecte liée à la validation des certificats. Après la mise à jour, vérifiez la bonne application de la correction en effectuant des tests de validation de certificats avec des certificats potentiellement malveillants.
Mettez à jour vers la version 5.9.1 ou ultérieure de wolfSSL pour atténuer la vulnérabilité. Cette mise à jour corrige le manque d'application des contraintes de nom URI dans les chaînes de certificats, empêchant l'acceptation de certificats malveillants.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-5263 est une vulnérabilité dans wolfSSL qui permet de contourner la validation des certificats en exploitant une mauvaise gestion des contraintes de nom URI des CAs intermédiaires.
Vous êtes affecté si vous utilisez wolfSSL dans les versions de 0.0.0 à 5.9.1 et que vous ne l'avez pas mis à jour vers la version 5.9.1 ou supérieure.
La solution consiste à mettre à jour wolfSSL vers la version 5.9.1 ou supérieure. En attendant, renforcez les contrôles de validation des certificats au niveau de l'application.
À l'heure actuelle, aucune preuve d'exploitation active n'est disponible, mais il est important de surveiller la situation.
Consultez le site web de wolfSSL ou les canaux de communication officiels pour obtenir l'avis officiel concernant CVE-2026-5263.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.