CVE-2026-5188 describes an integer underflow vulnerability discovered in wolfSSL. This flaw arises when parsing the Subject Alternative Name (SAN) extension within X.509 certificates. Malicious actors can exploit this by providing certificates with oversized SAN entries, leading to incorrect data handling. The vulnerability impacts wolfSSL versions from 0.0.0 through 5.9.0 and is mitigated by upgrading to version 5.11.0.
CVE-2026-5188 は、広く利用されている暗号化ライブラリである wolfSSL に影響を与えます。この脆弱性は、X.509 証明書における Subject Alternative Name (SAN) 拡張機能の処理にあります。悪意のある証明書は、囲みシーケンスを超える長さの SAN エントリを含めることができ、解析中に整数オーバーフローを引き起こす可能性があります。これにより、証明書データの誤った処理につながり、中間者攻撃を可能にしたり、不正な証明書を受け入れたりする可能性があります。この脆弱性は、デフォルトで無効になっている元の ASN.1 解析実装を使用する場合にのみトリガーされることに注意することが重要です。脆弱性の重大度は、wolfSSL の特定の構成と使用状況によって異なります。
この脆弱性の悪用には、元の ASN.1 実装が有効になっている wolfSSL を使用するシステムに悪意のある X.509 証明書を提示する機能が必要です。これは、Web サーバー、メールクライアント、または証明書検証に wolfSSL を使用するアプリケーションなど、さまざまなシナリオで発生する可能性があります。攻撃者は、不正な SAN エントリを含む偽の証明書を作成し、それをネットワークトラフィックを傍受したり、正当な Web サイトになりすましたりするために使用しようとする可能性があります。悪用の難易度は、攻撃者が悪意のある証明書を生成する能力と、ターゲットシステムのセキュリティ構成によって異なります。
Applications and devices utilizing wolfSSL versions 0.0.0 through 5.9.0 are at risk. This includes embedded systems, IoT devices, VPN servers and clients, and any application relying on wolfSSL for TLS/SSL communication. Specifically, systems that automatically accept certificates without rigorous validation are particularly vulnerable.
• linux / server:
find /usr/local/lib /usr/lib -name 'libwolfssl.so*' -print0 | xargs -0 strings | grep -i 'wolfssl version 5.9.0' #Check for vulnerable versions• generic web:
curl -I https://example.com | grep 'Server:' #Check for wolfSSL server signaturedisclosure
エクスプロイト状況
EPSS
0.04% (11% パーセンタイル)
CISA SSVC
推奨される解決策は、wolfSSL バージョン 5.11.0 以降にアップグレードすることです。このバージョンは、SAN 拡張機能の解析中に整数オーバーフローを防ぐための追加の安全策を実装することにより、脆弱性を修正します。即時のアップグレードが不可能な場合は、wolfSSL の構成を確認して、元の ASN.1 実装が無効になっていることを確認してください。さらに、信頼チェーンの検証と SAN 拡張機能内のドメイン名の検査を含む、堅牢な証明書検証プラクティスを実装します。wolfSSL ログを証明書解析エラーに関して監視することも、潜在的な攻撃を検出するのに役立ちます。
Actualice a la versión 5.11.0 o posterior de wolfSSL para mitigar el problema. La vulnerabilidad se solucionó deshabilitando el analizador ASN.1 original y utilizando el analizador ASN.1 seguro por defecto. Verifique la documentación de wolfSSL para obtener instrucciones de actualización específicas.
脆弱性分析と重要アラートをメールでお届けします。
ASN.1 (Abstract Syntax Notation One) は、データ形式を定義するための標準です。wolfSSL は、この脆弱性のある特定の ASN.1 実装を使用しています。
wolfSSL を使用しており、元の ASN.1 実装が有効になっている場合は、影響を受けている可能性が高いです。wolfSSL の構成を確認してください。
可能な場合は、元の ASN.1 実装を無効にします。堅牢な証明書検証を実装し、wolfSSL ログを監視します。
はい、この脆弱性は公開されており、CVE-2026-5188 に文書化されています。
この脆弱性を悪用するものを 포함하여 악의적인 인증서를 감지하는 데 도움이 되는 여러 인증서 분석 도구가 있습니다.