MEDIUMCVE-2026-5392

Lecture hors limites en tas dans PKCS7 SignedData en streaming dans wolfSSL

Plateforme

Composant

wolfssl

Corrigé dans

5.9.1

AI Confidence: highNVDEPSS 0.0%Révisé: mai 2026

Voir sur NVD

Sauvegarder

La vulnérabilité CVE-2026-5392 concerne une faille de lecture hors limites (out-of-bounds read) dans la bibliothèque wolfSSL, plus précisément lors de l'analyse des messages PKCS7. Cette faille permet à un attaquant d'exploiter un message PKCS7 spécialement conçu pour provoquer une lecture non autorisée de la mémoire, potentiellement révélant des informations sensibles. Les versions de wolfSSL concernées sont celles comprises entre 0.0.0 et 5.9.1 incluses. Une version corrigée, 5.9.1, est désormais disponible.

Impact et Scénarios d'Attaque

La vulnérabilité CVE-2026-5392 dans wolfSSL représente un risque de lecture hors limites de la pile (heap out-of-bounds read) lors de l'analyse des messages PKCS7. Un attaquant pourrait créer un message PKCS7 spécialement conçu pour exploiter cette faille, lui permettant potentiellement de lire des données sensibles de la mémoire du serveur. Cela pourrait entraîner la divulgation d'informations confidentielles, telles que des clés privées, des mots de passe ou d'autres données sensibles traitées par l'application utilisant wolfSSL. La cause première est l'absence de vérification des limites dans la boucle de vérification de contenu indéfini à l'intérieur de la fonction PKCS7_VerifySignedData(). La gravité de ce problème dépend du contexte de l'application et de la sensibilité des données en cours de traitement.

Contexte d'Exploitation

L'exploitation de CVE-2026-5392 nécessite qu'un attaquant soit capable d'envoyer des messages PKCS7 à un système utilisant wolfSSL vulnérable. Cela pourrait se produire dans divers scénarios, tels que les serveurs de messagerie, les systèmes d'authentification ou les applications utilisant PKCS7 pour le cryptage et les signatures numériques. L'attaquant doit être capable de créer un message PKCS7 malveillant qui exploite l'absence de vérification des limites dans PKCS7_VerifySignedData(). La complexité de l'exploitation dépendra de l'architecture du système et des mesures de sécurité supplémentaires en place. L'absence d'un KEV (Knowledge Enhancement Verification) indique des informations limitées sur l'exploitation réelle, mais le risque potentiel reste significatif.

Qui Est à Risquetraduction en cours…

Applications and devices that rely on wolfSSL for secure communication, particularly those handling sensitive data like financial transactions or personal information, are at risk. Embedded systems and IoT devices using older, unpatched versions of wolfSSL are especially vulnerable due to the difficulty of updating software on these platforms.

Étapes de Détectiontraduction en cours…

• c - Compile wolfSSL with debugging symbols and use memory analysis tools (e.g., Valgrind) to detect out-of-bounds reads during PKCS7 parsing. • c - Instrument the PKCS7_VerifySignedData() function with logging to track memory access patterns and identify potential out-of-bounds reads. • c - Monitor application crash logs for errors related to memory access violations or heap corruption, particularly when handling PKCS7 messages.

Chronologie de l'Attaque

2026-04-09Disclosure
Public Disclosure

Renseignement sur les Menaces

Statut de l'Exploit

Preuve de ConceptInconnu

CISA KEVNO

EPSS

0.02% (percentile 4%)

CISA SSVC

Exploitationnone

Automatisableno

Impact Techniquepartial

Logiciel Affecté

Composantwolfssl

FournisseurwolfSSL

Plage affectéeCorrigé dans

0.0.0 – 5.9.05.9.1

Classification de Faiblesse (CWE)

CWE-125

Chronologie

Réservé2026-04-01
Publiée2026-04-09
Modifiée2026-04-10
EPSS mis à jour2026-04-17

Mitigation et Contournements

L'atténuation principale pour CVE-2026-5392 est de mettre à niveau vers la version 5.9.1 de wolfSSL ou ultérieure. Cette version inclut la correction nécessaire pour éviter la lecture hors limites de la pile. Si la mise à niveau immédiate n'est pas possible, envisagez de mettre en œuvre des mesures de sécurité supplémentaires, telles que la validation stricte des messages PKCS7 entrants et la limitation de la quantité de mémoire allouée au traitement de ces messages. Des tests approfondis après la mise à niveau sont essentiels pour garantir que la correction est appliquée correctement et qu'elle n'a pas introduit de nouveaux problèmes. La surveillance continue du système est également importante pour détecter toute activité suspecte.

Comment corrigertraduction en cours…

Actualice a la versión 5.9.1 o posterior de wolfSSL para mitigar la vulnerabilidad de lectura fuera de límites en el análisis de mensajes PKCS7 SignedData. Esta actualización corrige la falta de verificación de límites en el bucle de verificación de contenido indefinido, previniendo así la lectura no autorizada de la memoria del heap.

Newsletter Sécurité CVE

Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.

Questions fréquentes

Qu'est-ce que CVE-2026-5392 dans wolfSSL ?

PKCS7 (Public-Key Cryptography Standards #7) est une norme pour le format des messages cryptés et signés numériquement.

Suis-je affecté(e) par CVE-2026-5392 dans wolfSSL ?

Les applications utilisant wolfSSL pour traiter les messages PKCS7 sont vulnérables à la divulgation d'informations confidentielles.

Comment corriger CVE-2026-5392 dans wolfSSL ?

Mettez en œuvre une validation stricte des messages PKCS7 entrants et limitez l'allocation de mémoire.

CVE-2026-5392 est-il activement exploité ?

Non, un KEV n'est actuellement pas disponible.

Où trouver l'avis officiel de wolfSSL pour CVE-2026-5392 ?

Consultez la documentation officielle de wolfSSL et les ressources de sécurité de l'industrie.