Platform
c
Component
wolfssl
Opgelost in
5.9.1
CVE-2026-5448 represents a Buffer Overflow vulnerability discovered within the wolfSSL library, specifically concerning the parsing of X.509 certificate date fields (notAfter/notBefore). Successful exploitation could potentially lead to denial of service or, in certain scenarios, arbitrary code execution. This vulnerability impacts versions of wolfSSL ranging from 0.0.0 up to and including 5.9.1, but is only triggered when directly calling the affected APIs. A patch is available in version 5.9.1.
CVE-2026-5448 beïnvloedt wolfSSL, specifiek de functies wolfSSLX509notAfter en wolfSSLX509notBefore. Deze kwetsbaarheid is een buffer overflow die kan optreden bij het parsen van datumsvelden in op maat gemaakte X.509-certificaten. Het is belangrijk op te merken dat deze kwetsbaarheid geen TLS-bewerkingen of certificaatverificatie binnen wolfSSL beïnvloedt. Het risico is beperkt tot applicaties die deze twee compatibiliteits-API's direct aanroepen. Een aanvaller kan deze kwetsbaarheid mogelijk misbruiken om een denial-of-service te veroorzaken of, in complexere scenario's, de integriteit van de applicatie te compromitteren.
Het misbruiken van CVE-2026-5448 vereist dat een applicatie de functies wolfSSLX509notAfter of wolfSSLX509notBefore direct aanroept met een speciaal ontworpen X.509-certificaat dat overmatig lange datumsvelden bevat. Omdat de kwetsbaarheid geen standaard TLS-bewerkingen beïnvloedt, zou een aanvaller de certificaatinput naar de applicatie moeten controleren om deze te kunnen misbruiken. Dit kan gebeuren als de applicatie certificaten downloadt van een niet-vertrouwde bron of als een aanvaller een kwaadaardig certificaat in de datastroom kan injecteren. Het ontbreken van een KEV (Knowledge Enhancement Vector) duidt op beperkte informatie over het misbruiken.
Exploit Status
EPSS
0.02% (4% percentiel)
CISA SSVC
De belangrijkste mitigatie voor CVE-2026-5448 is het upgraden naar wolfSSL versie 5.9.1 of hoger. Deze versie bevat de fix die de buffer overflow voorkomt. Als een onmiddellijke upgrade niet mogelijk is, wordt aanbevolen om het directe gebruik van de functies wolfSSLX509notAfter en wolfSSLX509notBefore in applicatiecode te vermijden. Gebruik in plaats daarvan de hoger-niveau functies van wolfSSL die certificaatverificatie veilig afhandelen. Het monitoren van certificaatbronnen en het valideren van de certificaatintegriteit kan ook helpen om het risico te beperken.
Actualice a la versión 5.9.1 o superior de wolfSSL para mitigar el riesgo de desbordamiento de búfer. La actualización corrige la vulnerabilidad al validar correctamente la longitud de los campos de fecha en los certificados X.509, previniendo la ejecución de código malicioso.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Nee, niet direct. De kwetsbaarheid beïnvloedt geen standaard TLS-bewerkingen in wolfSSL, dus webapplicaties die wolfSSL voor TLS gebruiken, zijn niet kwetsbaar, tenzij ze de betreffende functies direct gebruiken.
Vermijd het directe gebruik van wolfSSLX509notAfter en wolfSSLX509notBefore. Gebruik de hoger-niveau functies van wolfSSL voor certificaatverificatie.
Momenteel zijn er geen specifieke tools om deze kwetsbaarheid te detecteren. Een handmatige code review wordt aanbevolen om het directe gebruik van de betreffende functies te identificeren.
KEV (Knowledge Enhancement Vector) is een identificator die informatie geeft over het misbruiken van een kwetsbaarheid. Het ontbreken van een KEV duidt op beperkte informatie over het misbruiken.
Controleer de wolfSSL-versie die in uw project wordt gebruikt. Als deze ouder is dan versie 5.9.1, is deze kwetsbaar en moet deze worden bijgewerkt.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.