Platform
c
Component
wolfssl
Opgelost in
5.9.1
CVE-2026-5263 betreft een kwetsbaarheid in de certificaatvalidatie van wolfSSL, specifiek in de manier waarop URI nameConstraints van constrained intermediate CAs worden verwerkt. Door deze onjuiste verwerking kan een gecompromitteerde sub-CA ongeldige certificaten uitgeven die door wolfSSL als geldig worden beschouwd. Deze kwetsbaarheid treft versies van wolfSSL tussen 0.0.0 en 5.9.1, en kan worden verholpen door te upgraden naar versie 5.9.1.
Deze kwetsbaarheid maakt een man-in-the-middle (MITM) aanval mogelijk. Een aanvaller die controle heeft over een gecompromitteerde of kwaadwillende sub-CA kan certificaten uitgeven met URI Subject Alternative Name (SAN) entries die de nameConstraints van de uitgevende CA overtreden. Omdat wolfSSL deze overtredingen niet detecteert, zal de client de ongeldige certificaten als geldig accepteren. Dit stelt de aanvaller in staat om het netwerkverkeer te onderscheppen en te manipuleren, gevoelige gegevens te stelen of malware te injecteren. De impact is aanzienlijk, aangezien het de integriteit en vertrouwelijkheid van communicatie via TLS/SSL ondermijnt.
Op het moment van publicatie (2026-04-09) is er geen publieke proof-of-concept (POC) beschikbaar. De kwetsbaarheid is opgenomen in de NVD. De ernst van de kwetsbaarheid wordt nog geëvalueerd. Er zijn geen bekende actieve campagnes gerelateerd aan deze specifieke kwetsbaarheid.
Applications and systems utilizing wolfSSL for TLS/SSL communication are at risk, particularly those relying on certificate chains issued by constrained intermediate CAs. This includes embedded devices, IoT devices, and server-side applications that process TLS connections. Legacy systems with older wolfSSL versions are particularly vulnerable.
• c / generic web:
curl -I https://example.com | grep -i 'wolfssl/'• c / generic web:
cat /proc/modules | grep wolfssldisclosure
Exploit Status
EPSS
0.03% (7% percentiel)
CISA SSVC
De primaire mitigatie is het upgraden naar wolfSSL versie 5.9.1 of hoger, waarin de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het implementeren van strikte certificaatpinning in de applicatie. Dit beperkt de certificaten die de applicatie accepteert tot een vooraf gedefinieerde lijst. Controleer ook de configuratie van de CA-hiërarchie en zorg ervoor dat nameConstraints correct zijn gedefinieerd en afgedwongen. Na de upgrade, verifieer de correcte certificaatvalidatie door middel van TLS/SSL verbindingen met verschillende certificaten.
Werk bij naar versie 5.9.1 of hoger van wolfSSL om de kwetsbaarheid te mitigeren. Deze update corrigeert het niet afdwingen van URI nameConstraints in certificaatketens, waardoor het accepteren van kwaadaardige certificaten wordt voorkomen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-5263 is een kwetsbaarheid in wolfSSL waarbij nameConstraints niet worden afgedwongen, waardoor ongeldige certificaten kunnen worden geaccepteerd.
U bent getroffen als u wolfSSL gebruikt in versie 0.0.0 tot en met 5.9.1.
Upgrade naar wolfSSL versie 5.9.1 of hoger. Indien dit niet mogelijk is, implementeer dan tijdelijke mitigaties zoals certificaatpinning.
Op dit moment zijn er geen bekende actieve exploitatiecampagnes gerelateerd aan CVE-2026-5263.
Raadpleeg de wolfSSL website en de NVD-database voor het officiële advisory en meer informatie.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.