CVE-2026-5392 describes a heap out-of-bounds read vulnerability discovered in wolfSSL. A malicious actor can exploit this flaw by crafting a specially designed PKCS7 message, leading to potential information disclosure. This vulnerability affects versions 0.0.0 through 5.9.1 of wolfSSL, and a fix is available in version 5.9.1.
CVE-2026-5392は、wolfSSLにおけるPKCS7パース中のヒープバッファオーバーリードの脆弱性です。攻撃者は、特別に細工されたPKCS7メッセージを作成することで、この脆弱性を悪用し、サーバーのメモリから機密データを読み出す可能性があります。これにより、秘密鍵、パスワード、wolfSSLを使用するアプリケーションが処理するその他の機密データなどの機密情報の漏洩につながる可能性があります。この脆弱性の根本原因は、PKCS7_VerifySignedData()関数内の無限長コンテンツ検証ループにおける境界チェックの欠如です。この問題の重大度は、アプリケーションのコンテキストと処理されているデータの機密性によって異なります。
CVE-2026-5392の悪用には、攻撃者が脆弱なwolfSSLを使用しているシステムにPKCS7メッセージを送信できる必要があります。これは、電子メールサーバー、認証システム、PKCS7を暗号化およびデジタル署名に使用するアプリケーションなど、さまざまなシナリオで発生する可能性があります。攻撃者は、PKCS7_VerifySignedData()内の境界チェックの欠陥を利用する悪意のあるPKCS7メッセージを作成できる必要があります。悪用の複雑さは、システムアーキテクチャと実装されている追加のセキュリティ対策によって異なります。KEV(Knowledge Enhancement Verification)が存在しないことは、実際の悪用に関する情報が限られていることを示していますが、潜在的なリスクは依然として存在します。
Applications and devices that rely on wolfSSL for secure communication, particularly those handling sensitive data like financial transactions or personal information, are at risk. Embedded systems and IoT devices using older, unpatched versions of wolfSSL are especially vulnerable due to the difficulty of updating software on these platforms.
• c - Compile wolfSSL with debugging symbols and use memory analysis tools (e.g., Valgrind) to detect out-of-bounds reads during PKCS7 parsing. • c - Instrument the PKCS7_VerifySignedData() function with logging to track memory access patterns and identify potential out-of-bounds reads. • c - Monitor application crash logs for errors related to memory access violations or heap corruption, particularly when handling PKCS7 messages.
Public Disclosure
エクスプロイト状況
EPSS
0.02% (4% パーセンタイル)
CISA SSVC
CVE-2026-5392の主な軽減策は、wolfSSLをバージョン5.9.1以降にアップグレードすることです。このバージョンには、ヒープバッファオーバーリードを防ぐために必要な修正が含まれています。直ちにアップグレードできない場合は、受信するPKCS7メッセージの厳格な検証や、これらのメッセージの処理に割り当てられるメモリ量の制限など、追加のセキュリティ対策を検討してください。アップグレード後の徹底的なテストは、修正が正しく適用され、新しい問題が発生していないことを確認するために不可欠です。システムの継続的な監視も、疑わしいアクティビティを検出するために重要です。
Actualice a la versión 5.9.1 o posterior de wolfSSL para mitigar la vulnerabilidad de lectura fuera de límites en el análisis de mensajes PKCS7 SignedData. Esta actualización corrige la falta de verificación de límites en el bucle de verificación de contenido indefinido, previniendo así la lectura no autorizada de la memoria del heap.
脆弱性分析と重要アラートをメールでお届けします。
PKCS7(Public-Key Cryptography Standards #7)は、暗号化およびデジタル署名されたメッセージの形式に関する標準です。
PKCS7メッセージの処理にwolfSSLを使用するアプリケーションは、機密情報の漏洩に対して脆弱です。
受信するPKCS7メッセージの厳格な検証を実装し、メモリ割り当てを制限してください。
いいえ、現在KEVは利用できません。
wolfSSLの公式ドキュメントと業界のセキュリティリソースを参照してください。