Platform
c
Component
wolfssl
Opgelost in
5.9.1
CVE-2026-5194 beschrijft een kwetsbaarheid in de wolfSSL-bibliotheek, specifiek gerelateerd aan de verificatie van ECDSA-certificaten. Door ontbrekende controles kunnen digests kleiner dan toegestaan worden geaccepteerd, wat de beveiliging van authenticatieprocessen kan ondermijnen. Deze kwetsbaarheid treft versies van wolfSSL tussen 3.12.0 en 5.9.1 inclusief. Een fix is beschikbaar in versie 5.9.1.
Deze kwetsbaarheid stelt een aanvaller in staat om valse ECDSA-certificaten te presenteren en zo ongeautoriseerde toegang te verkrijgen tot systemen die wolfSSL gebruiken voor authenticatie. Het succes van een aanval hangt af van de mogelijkheid om een certificaat te verkrijgen met een kleinere hash-waarde dan verwacht, en de publieke CA-sleutel te kennen. Dit kan leiden tot man-in-the-middle aanvallen, waarbij de aanvaller het verkeer kan onderscheppen en manipuleren. De impact is groter wanneer de publieke CA-sleutel die gebruikt wordt voor de certificaten ook bekend is bij de aanvaller, waardoor het makkelijker wordt om valse certificaten te genereren. De ernst van de impact hangt af van de gevoeligheid van de data die wordt beschermd door de ECDSA-authenticatie.
Op het moment van publicatie (2026-04-09) is er geen publieke proof-of-concept (POC) bekend. De kwetsbaarheid is nog niet opgenomen in de CISA KEV catalogus. De ernst van de kwetsbaarheid wordt momenteel geëvalueerd.
Systems relying on wolfSSL for ECDSA certificate-based authentication are at risk, particularly those using a single, widely-distributed CA key. Embedded devices, IoT devices, and applications that perform certificate pinning are especially vulnerable if they use affected versions of wolfSSL.
• linux / server: Examine wolfSSL library logs for errors related to digest size validation during certificate verification. Use journalctl -u wolfssl to filter for relevant log entries.
• c: Review wolfSSL source code (specifically the ECDSA verification functions) for instances where digest sizes are not properly validated. Use a code analysis tool to identify potential vulnerabilities.
• generic web: If wolfSSL is used in a web server's TLS implementation, monitor for unusual certificate chain validation errors in the web server's access and error logs.
disclosure
Exploit Status
EPSS
0.04% (10% percentiel)
CISA SSVC
De primaire mitigatie is het upgraden van wolfSSL naar versie 5.9.1 of hoger, waar de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het verharden van de authenticatieprocessen door extra controles toe te voegen. Het is belangrijk om te controleren of de gebruikte ECDSA-certificaten voldoen aan de verwachte hash-grootte. Het implementeren van een Web Application Firewall (WAF) kan helpen om verdachte certificaten te detecteren en te blokkeren. Monitor de systemen op ongebruikelijke authenticatiepogingen en certificaatverificatiefouten.
Werk bij naar versie 5.9.1 of hoger om de kwetsbaarheid te mitigeren. Deze update corrigeert de ontbrekende hash/digest grootte en OID controles, waardoor de acceptatie van kleinere ECDSA digests dan toegestaan wordt voorkomen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-5194 is een kwetsbaarheid in wolfSSL waarbij ontbrekende controles de acceptatie van te kleine hash-waarden mogelijk maken bij ECDSA-certificaatverificatie, wat de authenticatie kan ondermijnen.
U bent getroffen als u wolfSSL gebruikt in versie 3.12.0 tot en met 5.9.1. Controleer uw wolfSSL-versie om te bepalen of u kwetsbaar bent.
Upgrade naar wolfSSL versie 5.9.1 of hoger om deze kwetsbaarheid te verhelpen. Indien een upgrade niet direct mogelijk is, implementeer dan tijdelijke mitigatiemaatregelen.
Op het moment van publicatie is er geen bewijs van actieve exploitatie, maar de kwetsbaarheid is wel bekend en kan in de toekomst worden misbruikt.
Raadpleeg de wolfSSL website of de security advisories sectie voor de meest recente informatie over CVE-2026-5194.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.