Plataforma
c
Componente
wolfssl
Corrigido em
5.9.1
A vulnerabilidade CVE-2026-5194 afeta a biblioteca wolfSSL, permitindo que digests menores do que o esperado sejam aceitos durante a verificação de certificados ECDSA. Essa falha pode comprometer a segurança da autenticação baseada em certificados, especialmente em cenários onde a chave pública da Autoridade Certificadora (CA) também é conhecida. Versões afetadas incluem 3.12.0 até 5.9.1. A correção foi implementada na versão 5.9.1.
Um atacante pode explorar essa vulnerabilidade para realizar ataques de falsificação de certificados ECDSA. Ao apresentar um certificado com um digest menor do que o esperado, o atacante pode contornar a verificação de assinatura e obter acesso não autorizado a sistemas que dependem da autenticação baseada em certificados ECDSA. O impacto é ampliado se a chave pública da CA for comprometida, permitindo a criação de certificados maliciosos que são aceitos como válidos. Essa falha pode levar a roubo de dados, comprometimento de sistemas e interrupção de serviços.
A vulnerabilidade foi divulgada em 2026-04-09. Não há informações disponíveis sobre exploração ativa ou presença na KEV (CISA Known Exploited Vulnerabilities) no momento da divulgação. A probabilidade de exploração é considerada baixa a média, dependendo da exposição dos sistemas afetados e da disponibilidade de ferramentas de exploração. Não há public proof-of-concept (PoC) amplamente disponíveis.
Systems relying on wolfSSL for ECDSA certificate-based authentication are at risk, particularly those using a single, widely-distributed CA key. Embedded devices, IoT devices, and applications that perform certificate pinning are especially vulnerable if they use affected versions of wolfSSL.
• linux / server: Examine wolfSSL library logs for errors related to digest size validation during certificate verification. Use journalctl -u wolfssl to filter for relevant log entries.
• c: Review wolfSSL source code (specifically the ECDSA verification functions) for instances where digest sizes are not properly validated. Use a code analysis tool to identify potential vulnerabilities.
• generic web: If wolfSSL is used in a web server's TLS implementation, monitor for unusual certificate chain validation errors in the web server's access and error logs.
disclosure
Status do Exploit
EPSS
0.04% (percentil 10%)
CISA SSVC
A mitigação primária é atualizar a biblioteca wolfSSL para a versão 5.9.1 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso a recursos críticos e monitorar logs de autenticação em busca de atividades suspeitas. Implementar regras de firewall para limitar o tráfego de entrada e saída para sistemas que utilizam wolfSSL também pode ajudar a reduzir o risco. Após a atualização, confirme a correção verificando a versão da biblioteca e realizando testes de autenticação para garantir que a verificação de certificados ECDSA esteja funcionando corretamente.
Atualize para a versão 5.9.1 ou posterior para mitigar a vulnerabilidade. Esta atualização corrige as verificações faltantes de tamanho e OID de hash/digest, evitando a aceitação de digests ECDSA menores do que o permitido.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-5194 é uma vulnerabilidade na biblioteca wolfSSL que permite a aceitação de digests menores durante a verificação de certificados ECDSA, comprometendo a autenticação.
Se você estiver utilizando wolfSSL nas versões entre 3.12.0 e 5.9.1, você está potencialmente afetado. Verifique a versão da sua biblioteca.
A correção é atualizar a biblioteca wolfSSL para a versão 5.9.1 ou superior. Consulte a documentação oficial do wolfSSL para instruções detalhadas.
Atualmente, não há informações sobre exploração ativa da vulnerabilidade, mas a probabilidade de exploração existe, especialmente em sistemas expostos.
Consulte o site oficial do wolfSSL para obter o advisory de segurança relacionado ao CVE-2026-5194: [https://www.wolfssl.com/](https://www.wolfssl.com/)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.