Platform
c
Component
wolfssl
Opgelost in
5.11.0
CVE-2026-5188 describes an integer underflow vulnerability discovered in wolfSSL. This flaw arises when parsing the Subject Alternative Name (SAN) extension within X.509 certificates. Malicious actors can exploit this by providing certificates with oversized SAN entries, leading to incorrect data handling. The vulnerability impacts wolfSSL versions from 0.0.0 through 5.9.0 and is mitigated by upgrading to version 5.11.0.
CVE-2026-5188 heeft betrekking op wolfSSL, een veelgebruikte cryptografische bibliotheek. De kwetsbaarheid ligt in de verwerking van de Subject Alternative Name (SAN)-extensie in X.509-certificaten. Een kwaadaardig certificaat kan een SAN-invoer bevatten waarvan de lengte de omsluitende sequentie overschrijdt, wat leidt tot een integer overflow tijdens het parsen. Dit kan leiden tot een onjuiste verwerking van certificaatgegevens, waardoor potentieel man-in-the-middle-aanvallen mogelijk zijn of frauduleuze certificaten worden geaccepteerd. Het is belangrijk op te merken dat deze kwetsbaarheid alleen wordt geactiveerd wanneer de originele ASN.1-parsing-implementatie wordt gebruikt, die standaard is uitgeschakeld in wolfSSL. De ernst van de kwetsbaarheid hangt af van de specifieke configuratie en het gebruik van wolfSSL.
Het exploiteren van deze kwetsbaarheid vereist de mogelijkheid om een kwaadaardig X.509-certificaat aan een systeem te presenteren dat wolfSSL gebruikt met de originele ASN.1-implementatie ingeschakeld. Dit kan in verschillende scenario's gebeuren, waaronder webservers, e-mailclients of elke applicatie die wolfSSL gebruikt voor certificaatverificatie. Een aanvaller kan een vals certificaat maken met een verkeerd gevormde SAN-invoer en vervolgens proberen dit te gebruiken om netwerkverkeer te onderscheppen of zich voor te doen als een legitieme website. De moeilijkheidsgraad van de exploitatie hangt af van het vermogen van de aanvaller om kwaadaardige certificaten te genereren en van de beveiligingsconfiguratie van het doel systeem.
Applications and devices utilizing wolfSSL versions 0.0.0 through 5.9.0 are at risk. This includes embedded systems, IoT devices, VPN servers and clients, and any application relying on wolfSSL for TLS/SSL communication. Specifically, systems that automatically accept certificates without rigorous validation are particularly vulnerable.
• linux / server:
find /usr/local/lib /usr/lib -name 'libwolfssl.so*' -print0 | xargs -0 strings | grep -i 'wolfssl version 5.9.0' #Check for vulnerable versions• generic web:
curl -I https://example.com | grep 'Server:' #Check for wolfSSL server signaturedisclosure
Exploit Status
EPSS
0.04% (11% percentiel)
CISA SSVC
De aanbevolen oplossing is om te upgraden naar wolfSSL versie 5.11.0 of hoger. Deze versie corrigeert de kwetsbaarheid door extra beveiligingsmaatregelen te implementeren om integer overflows tijdens het parsen van de SAN-extensie te voorkomen. Als een onmiddellijke upgrade niet mogelijk is, controleer dan uw wolfSSL-configuratie om ervoor te zorgen dat de originele ASN.1-implementatie niet is ingeschakeld. Implementeer bovendien robuuste certificaatvalidatiepraktijken, waaronder de verificatie van de vertrouwensketen en de inspectie van domeinnamen in de SAN-extensie. Het monitoren van wolfSSL-logs op parsing-fouten met betrekking tot certificaten kan ook helpen om potentiële aanvallen te detecteren.
Actualice a la versión 5.11.0 o posterior de wolfSSL para mitigar el problema. La vulnerabilidad se solucionó deshabilitando el analizador ASN.1 original y utilizando el analizador ASN.1 seguro por defecto. Verifique la documentación de wolfSSL para obtener instrucciones de actualización específicas.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
ASN.1 (Abstract Syntax Notation One) is een standaard voor het definiëren van gegevensformaten. wolfSSL gebruikt een specifieke ASN.1-implementatie die kwetsbaar is voor deze kwetsbaarheid.
Als u wolfSSL gebruikt en de originele ASN.1-implementatie is ingeschakeld, is de kans groot dat u getroffen bent. Controleer uw wolfSSL-configuratie.
Schakel de originele ASN.1-implementatie uit indien mogelijk. Implementeer robuuste certificaatvalidatie en monitor de wolfSSL-logs.
Ja, de kwetsbaarheid is openbaar en gedocumenteerd in CVE-2026-5188.
Er zijn verschillende certificaatanalyse-tools die kunnen helpen bij het detecteren van kwaadaardige certificaten, waaronder die welke deze kwetsbaarheid uitbuiten.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.