Plateforme
nginx
Composant
wolfssl
Corrigé dans
5.11.0
La vulnérabilité CVE-2026-5501 affecte la fonction wolfSSLX509verify_cert de la bibliothèque wolfSSL, plus précisément sa couche de compatibilité OpenSSL. Elle permet à un attaquant de forger des certificats X509 en contournant la vérification de la signature du certificat feuille. Cette faille est particulièrement préoccupante car elle peut compromettre la sécurité des communications TLS.
Un attaquant peut exploiter cette vulnérabilité pour créer un certificat frauduleux pour n'importe quel nom de sujet, avec n'importe quelle clé publique et des octets de signature arbitraires. En obtenant un certificat feuille légitime d'une autorité de certification de confiance (par exemple, un certificat DV gratuit de Let's Encrypt), l'attaquant peut créer un certificat malveillant qui sera considéré comme valide par les clients TLS. Cela permet de mener des attaques de type « man-in-the-middle » (MITM) en interceptant et en déchiffrant le trafic réseau, ou d'usurper l'identité d'un serveur légitime. La fonction ProcessPeerCerts du chemin natif TLS de wolfSSL n'est pas affectée.
Cette vulnérabilité a été rendue publique le 2026-04-10. Il n'y a pas d'indication d'exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne, car elle nécessite une certaine expertise technique et l'obtention d'un certificat initial valide. Il n'est pas listé sur le KEV (Known Exploited Vulnerabilities) de CISA au moment de la rédaction.
Systems utilizing wolfSSL versions 0.0.0 through 5.9.0 are at risk, particularly those relying on the OpenSSL compatibility layer for certificate validation. This includes applications and services that handle sensitive data over TLS, such as web servers, API gateways, and VPN servers. Shared hosting environments using vulnerable wolfSSL versions are also at increased risk due to the potential for cross-tenant attacks.
• nginx: Examine Nginx error logs for unusual certificate validation failures or errors related to certificate chain construction. Use nginx -t to validate configuration after any changes.
grep -i "certificate validation failed" /var/log/nginx/error.log• generic web: Monitor web server access logs for connections using certificates with unexpected or suspicious subject names. Use curl to test certificate validation.
curl -v https://your-website.com --dump-header - | grep Subject:• database (mysql, redis, mongodb, postgresql): While the vulnerability is in wolfSSL, if your database uses wolfSSL for TLS, monitor database connection logs for unusual certificate fingerprints or validation errors. This is less direct but can indicate a compromised connection.
• linux / server: Monitor system logs for unusual TLS connection attempts or errors related to certificate validation. Use journalctl to filter for relevant events.
journalctl -u nginx -g "certificate validation failed"disclosure
patch
Statut de l'Exploit
EPSS
0.03% (percentile 7%)
CISA SSVC
La mitigation principale consiste à mettre à jour wolfSSL vers la version 5.11.0 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de désactiver temporairement la compatibilité OpenSSL dans wolfSSL, si cela est acceptable pour l'application. En attendant la mise à jour, une configuration WAF (Web Application Firewall) peut être mise en place pour détecter et bloquer les certificats frauduleux, mais cela peut entraîner des faux positifs. Après la mise à jour, vérifiez la configuration TLS pour vous assurer que les certificats sont correctement validés.
Mettez à jour vers la version 5.11.0 ou supérieure de wolfSSL pour atténuer la vulnérabilité. Cette mise à jour corrige le défaut de vérification de la signature des certificats X.509, empêchant l'acceptation de certificats feuilles falsifiés. Consultez la documentation de wolfSSL pour obtenir des instructions de mise à jour spécifiques à votre environnement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-5501 est une vulnérabilité dans wolfSSL qui permet la falsification de certificats X509 en contournant la vérification de la signature du certificat feuille, affectant les versions 0.0.0–5.9.0.
Vous êtes affecté si vous utilisez wolfSSL versions 0.0.0–5.9.0 et que vous utilisez la couche de compatibilité OpenSSL. Vérifiez votre version de wolfSSL.
Mettez à jour wolfSSL vers la version 5.11.0 ou supérieure. Si la mise à jour n'est pas possible, désactivez temporairement la compatibilité OpenSSL si possible.
À ce jour, il n'y a aucune indication d'exploitation active de CVE-2026-5501, mais la probabilité d'exploitation est considérée comme moyenne.
Consultez le site web de wolfSSL pour obtenir les dernières informations et les avis de sécurité concernant CVE-2026-5501.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.