Plateforme
c
Composant
wolfssl
Corrigé dans
5.9.1
CVE-2026-5448 décrit un dépassement de tampon détecté dans la bibliothèque wolfSSL, spécifiquement lors de l'analyse des champs de date dans les certificats X.509 via l'API de compatibilité. Cette vulnérabilité pourrait entraîner un crash de l'application si elle est exploitée, mais elle n'affecte pas directement les opérations TLS ou de vérification de certificat. Les versions de wolfSSL concernées sont celles comprises entre 0.0.0 et 5.9.1 incluses; une version corrigée (5.9.1) est disponible.
La CVE-2026-5448 affecte wolfSSL, plus précisément les fonctions wolfSSLX509notAfter et wolfSSLX509notBefore. Cette vulnérabilité est un débordement de tampon qui peut se produire lors de l'analyse des champs de date dans des certificats X.509 malveillants. Il est important de noter que cette vulnérabilité n'affecte pas les opérations TLS ni la vérification des certificats dans wolfSSL. Le risque est limité aux applications qui appellent directement ces deux API de la couche de compatibilité. Un attaquant pourrait potentiellement exploiter cette vulnérabilité pour provoquer un déni de service ou, dans des scénarios plus complexes, compromettre l'intégrité de l'application.
L'exploitation de la CVE-2026-5448 nécessite qu'une application appelle directement les fonctions wolfSSLX509notAfter ou wolfSSLX509notBefore avec un certificat X.509 spécialement conçu contenant des champs de date excessivement longs. Étant donné que la vulnérabilité n'affecte pas les opérations TLS standard, un attaquant devrait contrôler l'entrée du certificat vers l'application pour pouvoir l'exploiter. Cela pourrait se produire si l'application télécharge des certificats à partir d'une source non fiable ou si un attaquant peut injecter un certificat malveillant dans le flux de données. L'absence de KEV (Knowledge Enhancement Vector) indique des informations limitées concernant l'exploitation.
Statut de l'Exploit
EPSS
0.02% (percentile 4%)
CISA SSVC
L'atténuation principale de la CVE-2026-5448 consiste à mettre à niveau vers la version 5.9.1 de wolfSSL ou ultérieure. Cette version contient la correction qui empêche le débordement de tampon. Si une mise à niveau immédiate n'est pas possible, il est recommandé d'éviter d'utiliser directement les fonctions wolfSSLX509notAfter et wolfSSLX509notBefore dans le code de l'application. Utilisez plutôt les fonctions de niveau supérieur de wolfSSL qui gèrent la vérification des certificats de manière sécurisée. Surveiller les sources de certificats et valider l'intégrité des certificats peut également aider à atténuer le risque.
Actualice a la versión 5.9.1 o superior de wolfSSL para mitigar el riesgo de desbordamiento de búfer. La actualización corrige la vulnerabilidad al validar correctamente la longitud de los campos de fecha en los certificados X.509, previniendo la ejecución de código malicioso.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Non directement. La vulnérabilité n'affecte pas les opérations TLS standard dans wolfSSL, de sorte que les applications web utilisant wolfSSL pour TLS ne sont pas vulnérables à moins qu'elles n'utilisent directement les fonctions concernées.
Évitez d'utiliser directement wolfSSLX509notAfter et wolfSSLX509notBefore. Utilisez les fonctions de niveau supérieur de wolfSSL pour la vérification des certificats.
Actuellement, il n'existe pas d'outils spécifiques pour détecter cette vulnérabilité. Un examen manuel du code est recommandé pour identifier l'utilisation directe des fonctions concernées.
KEV (Knowledge Enhancement Vector) est un identifiant fournissant des informations sur l'exploitation d'une vulnérabilité. L'absence de KEV indique des informations limitées concernant l'exploitation.
Vérifiez la version de wolfSSL utilisée dans votre projet. Si elle est antérieure à la version 5.9.1, elle est vulnérable et doit être mise à niveau.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.