प्लेटफ़ॉर्म
c
घटक
wolfssl
में ठीक किया गया
5.9.1
CVE-2026-5392 wolfSSL लाइब्रेरी में एक भेद्यता है जो Heap out-of-bounds read से संबंधित है। इस भेद्यता का शोषण करने पर एक हमलावर संभावित रूप से संवेदनशील जानकारी तक पहुंच प्राप्त कर सकता है या सिस्टम को क्रैश कर सकता है। यह भेद्यता wolfSSL के 0.0.0 से 5.9.1 तक के संस्करणों को प्रभावित करती है। भेद्यता को wolfSSL के 5.9.1 संस्करण में ठीक कर दिया गया है।
CVE-2026-5392 wolfSSL में PKCS7 पार्सिंग के दौरान एक हीप आउट-ऑफ-बाउंड्स रीड भेद्यता का प्रतिनिधित्व करता है। एक हमलावर एक विशेष रूप से तैयार किए गए PKCS7 संदेश बनाकर इस कमजोरी का फायदा उठा सकता है, जिससे उन्हें सर्वर मेमोरी से संवेदनशील डेटा पढ़ने की अनुमति मिल सकती है। इससे गोपनीय जानकारी का खुलासा हो सकता है, जैसे कि निजी कुंजियाँ, पासवर्ड या अन्य संवेदनशील डेटा जो wolfSSL का उपयोग करने वाले एप्लिकेशन द्वारा संसाधित किए जाते हैं। इस भेद्यता का मूल कारण PKCS7_VerifySignedData() फ़ंक्शन के भीतर असीमित-लंबाई सामग्री सत्यापन लूप में सीमा जाँच की कमी है। इस मुद्दे की गंभीरता एप्लिकेशन के संदर्भ और संसाधित किए जा रहे डेटा की संवेदनशीलता पर निर्भर करती है।
CVE-2026-5392 का फायदा उठाने के लिए, एक हमलावर को कमजोर wolfSSL का उपयोग करने वाले सिस्टम पर PKCS7 संदेश भेजने में सक्षम होना चाहिए। यह विभिन्न परिदृश्यों में हो सकता है, जैसे ईमेल सर्वर, प्रमाणीकरण सिस्टम या PKCS7 का उपयोग एन्क्रिप्शन और डिजिटल हस्ताक्षर के लिए करने वाले एप्लिकेशन। हमलावर को PKCS7_VerifySignedData() में लापता सीमा जाँच का फायदा उठाने वाला एक दुर्भावनापूर्ण PKCS7 संदेश बनाने में सक्षम होना चाहिए। शोषण की जटिलता सिस्टम आर्किटेक्चर और लागू किए गए किसी भी अतिरिक्त सुरक्षा उपायों पर निर्भर करेगी। KEV (नॉलेज एन्हांसमेंट वेरिफिकेशन) की अनुपस्थिति वास्तविक शोषण के बारे में सीमित जानकारी का संकेत देती है, लेकिन संभावित जोखिम बना रहता है।
Applications and devices that rely on wolfSSL for secure communication, particularly those handling sensitive data like financial transactions or personal information, are at risk. Embedded systems and IoT devices using older, unpatched versions of wolfSSL are especially vulnerable due to the difficulty of updating software on these platforms.
• c - Compile wolfSSL with debugging symbols and use memory analysis tools (e.g., Valgrind) to detect out-of-bounds reads during PKCS7 parsing. • c - Instrument the PKCS7_VerifySignedData() function with logging to track memory access patterns and identify potential out-of-bounds reads. • c - Monitor application crash logs for errors related to memory access violations or heap corruption, particularly when handling PKCS7 messages.
Public Disclosure
एक्सप्लॉइट स्थिति
EPSS
0.02% (4% शतमक)
CISA SSVC
CVE-2026-5392 के लिए प्राथमिक शमन wolfSSL को संस्करण 5.9.1 या बाद के संस्करण में अपग्रेड करना है। इस संस्करण में हीप आउट-ऑफ-बाउंड्स रीड को रोकने के लिए आवश्यक फिक्स शामिल है। यदि तत्काल अपग्रेड संभव नहीं है, तो अतिरिक्त सुरक्षा उपायों पर विचार करें, जैसे कि आने वाले PKCS7 संदेशों का सख्त सत्यापन और इन संदेशों को संसाधित करने के लिए आवंटित मेमोरी की मात्रा को सीमित करना। अपग्रेड के बाद पूरी तरह से परीक्षण करना महत्वपूर्ण है ताकि यह सुनिश्चित किया जा सके कि फिक्स सही ढंग से लागू किया गया है और इसने कोई नई समस्या नहीं पेश की है। किसी भी संदिग्ध गतिविधि का पता लगाने के लिए सिस्टम की निरंतर निगरानी भी महत्वपूर्ण है।
Actualice a la versión 5.9.1 o posterior de wolfSSL para mitigar la vulnerabilidad de lectura fuera de límites en el análisis de mensajes PKCS7 SignedData. Esta actualización corrige la falta de verificación de límites en el bucle de verificación de contenido indefinido, previniendo así la lectura no autorizada de la memoria del heap.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
PKCS7 (पब्लिक-की क्रिप्टोग्राफी स्टैंडर्ड #7) एन्क्रिप्टेड और डिजिटल रूप से हस्ताक्षरित संदेशों के प्रारूप के लिए एक मानक है।
PKCS7 संदेशों को संसाधित करने के लिए wolfSSL का उपयोग करने वाले अनुप्रयोग गोपनीय जानकारी के प्रकटीकरण के प्रति संवेदनशील हैं।
आने वाले PKCS7 संदेशों को सख्त रूप से मान्य करें और मेमोरी आवंटन को सीमित करें।
नहीं, वर्तमान में KEV उपलब्ध नहीं है।
wolfSSL के आधिकारिक दस्तावेज़ और उद्योग सुरक्षा संसाधनों से परामर्श करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।