Platform
c
Component
wolfssl
Opgelost in
5.9.1
A critical buffer overflow vulnerability (CVE-2026-5295) has been identified in wolfSSL, specifically within the PKCS7 decryption process. This flaw allows attackers to exploit a stack buffer overflow by crafting malicious CMS EnvelopedData messages. The vulnerability impacts versions 0.0.0 through 5.9.1 of wolfSSL and has been publicly disclosed on 2026-04-09. A fix is available in version 5.9.1.
CVE-2026-5295 in wolfSSL vertegenwoordigt een stack buffer overflow kwetsbaarheid binnen de PKCS7 implementatie's wcPKCS7DecryptOri() functie. Dit gebeurt wanneer CMS EnvelopedData berichten verwerkt worden die een OtherRecipientInfo (ORI) ontvanger bevatten. De functie kopieert een ASN.1-geanalyseerde OID naar een vaste 32-byte stack buffer (oriOID[MAXOIDSZ]) via XMEMCPY zonder eerst te valideren dat de lengte van de geanalyseerde OID 32 bytes niet overschrijdt. Een kwaadwillende actor kan dit uitbuiten door een CMS EnvelopedData bericht te creëren met een ORI ontvanger die een OID bevat die langer is dan 32 bytes. Dit kan leiden tot willekeurige code uitvoering, denial of service, of informatie openbaarmaking, afhankelijk van de applicatie context die wolfSSL gebruikt.
Deze kwetsbaarheid is vooral zorgwekkend in systemen die wolfSSL gebruiken voor het afhandelen van veilige communicatie, zoals webservers, IoT-apparaten en mobiele applicaties. Aanvallers kunnen dit gebruiken om versleutelde communicaties te onderscheppen en te ontsleutelen, de gegevensintegriteit te compromitteren en ongeautoriseerde toegang tot systemen te krijgen. De complexiteit van CMS EnvelopedData berichten en de aard van de PKCS7 implementatie maken het moeilijk om deze kwetsbaarheid te detecteren zonder een zorgvuldige inspectie van de broncode of het gebruik van beveiligingsanalyse tools. Het ontbreken van een KEV (Knowledge Enhancement Vector) suggereert beperkte informatie over de echte exploitatie, maar het potentiële risico vereist onmiddellijke aandacht.
Systems utilizing wolfSSL in applications handling encrypted data, particularly those dealing with CMS EnvelopedData messages, are at risk. This includes embedded systems, IoT devices, and network appliances. Applications relying on wolfSSL for secure communication are especially vulnerable if they do not perform adequate input validation.
• linux / server:
journalctl -g "wolfSSL" -f | grep -i "buffer overflow"• c:
Review the pkcs7.c file for the vulnerable wcPKCS7DecryptOri() function and ensure it's been patched. Use static analysis tools to identify potential buffer overflow vulnerabilities.
• generic web:
Monitor network traffic for unusual CMS EnvelopedData messages with excessively long OIDs. Examine application logs for errors related to ASN.1 parsing or memory allocation.
disclosure
Exploit Status
EPSS
0.02% (5% percentiel)
CISA SSVC
De primaire mitigatie voor CVE-2026-5295 is het upgraden naar wolfSSL versie 5.9.1 of hoger. Deze versie bevat een fix die de OID lengte valideert voordat deze naar de stack buffer gekopieerd wordt, waardoor de overflow wordt voorkomen. Als een onmiddellijke upgrade niet mogelijk is, overweeg dan alternatieve beveiligingsmaatregelen zoals Web Application Firewalls (WAFs) om kwaadwillige CMS EnvelopedData berichten te filteren, of het implementeren van strengere input validatie om OID lengtes te controleren voordat ze verwerkt worden. Evalueer zorgvuldig de impact van deze alternatieve maatregelen op de systeem prestaties en functionaliteit.
Actualice a la versión 5.9.1 o posterior de wolfSSL para mitigar la vulnerabilidad de desbordamiento de búfer en la pila. Asegúrese de que la biblioteca se compile con --enable-pkcs7 desactivado a menos que sea absolutamente necesario, y si se utiliza, registre un callback de descifrado ORI personalizado.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
PKCS7 (Public-Key Cryptography Standards #7) is een standaard voor het formaat van versleutelde gegevens en digitale handtekeningen.
CMS EnvelopedData is een type PKCS7 bericht dat wordt gebruikt om gegevens te versleutelen voor één of meer ontvangers.
Versie 5.9.1 van wolfSSL bevat een fix die de stack buffer overflow kwetsbaarheid verzacht.
Overweeg alternatieve beveiligingsmaatregelen te implementeren, zoals het gebruik van een WAF of input validatie.
Momenteel is er geen KEV beschikbaar, wat suggereert dat er beperkte publieke informatie is over actieve exploitatie, maar het potentiële risico vereist aandacht.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.