Plataforma
c
Componente
wolfssl
Corrigido em
5.9.1
Uma vulnerabilidade foi descoberta em wolfSSL, afetando versões de 0.0.0 até 5.9.1. Esta falha permite que certificados com extensões de nome (SANs) URI inválidos sejam aceitos durante a verificação da cadeia de certificados, comprometendo a integridade da validação. A vulnerabilidade reside na forma como as restrições de nome (nameConstraints) de CAs intermediárias são tratadas, permitindo que sub-CAs maliciosas emitam certificados que contornam essas restrições. A correção está disponível na versão 5.9.1.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante, controlando ou comprometendo uma sub-CA, emita certificados aparentemente válidos para domínios ou serviços que não deveriam ser confiáveis. Isso pode levar a ataques de 'man-in-the-middle' (MITM), onde o atacante intercepta e descriptografa o tráfego entre o cliente e o servidor. A confiança em certificados emitidos por sub-CAs comprometidas é fundamental para a segurança de muitas aplicações, e a falha em validar corretamente as restrições de nome pode ter um impacto significativo na confidencialidade e integridade dos dados. A ausência de validação adequada das nameConstraints abre uma brecha para a emissão de certificados fraudulentos, potencialmente afetando uma ampla gama de serviços que dependem da cadeia de confiança de certificados.
A vulnerabilidade foi divulgada em 2026-04-09. Não há informações disponíveis sobre a inclusão desta vulnerabilidade no KEV (CISA Known Exploited Vulnerabilities) ou sobre a existência de um EPSS (Exploit Prediction Scoring System) score. Atualmente, não há public proof-of-concept (PoC) amplamente disponível, mas a natureza da vulnerabilidade a torna um alvo potencial para exploração futura. É recomendável monitorar as fontes de inteligência de ameaças para detectar qualquer atividade relacionada a esta vulnerabilidade.
Applications and systems utilizing wolfSSL for TLS/SSL communication are at risk, particularly those relying on certificate chains issued by constrained intermediate CAs. This includes embedded devices, IoT devices, and server-side applications that process TLS connections. Legacy systems with older wolfSSL versions are particularly vulnerable.
• c / generic web:
curl -I https://example.com | grep -i 'wolfssl/'• c / generic web:
cat /proc/modules | grep wolfssldisclosure
Status do Exploit
EPSS
0.03% (percentil 7%)
CISA SSVC
A mitigação primária é atualizar para a versão 5.9.1 do wolfSSL, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como a validação manual dos certificados antes de confiar neles. Implementar regras em firewalls ou proxies para bloquear conexões com certificados emitidos por sub-CAs suspeitas pode ajudar a reduzir o risco. Monitore logs de eventos de segurança em busca de atividades incomuns relacionadas à validação de certificados. Após a atualização, confirme a correção verificando a versão do wolfSSL e realizando testes de validação de certificados com diferentes cenários, incluindo certificados com SANs URI que deveriam ser rejeitados.
Atualize para a versão 5.9.1 ou posterior do wolfSSL para mitigar a vulnerabilidade. Esta atualização corrige a falta de aplicação das restrições de nome URI nas cadeias de certificados, evitando que certificados maliciosos sejam aceitos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-5263 é uma vulnerabilidade em wolfSSL (versões 0.0.0–5.9.1) que permite a aceitação de certificados inválidos devido à falta de aplicação de nameConstraints de CAs intermediárias.
Se você estiver usando wolfSSL nas versões de 0.0.0 a 5.9.1, você está potencialmente afetado. Verifique sua versão e atualize imediatamente.
A correção é atualizar para a versão 5.9.1 do wolfSSL. Se a atualização não for possível, implemente medidas de segurança adicionais, como validação manual de certificados.
Atualmente, não há evidências de exploração ativa, mas a vulnerabilidade é um alvo potencial e deve ser tratada com seriedade.
Consulte o site oficial do wolfSSL para obter informações e o advisory de segurança relacionado a CVE-2026-5263.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.