Plataforma
c
Componente
wolfssl
Corrigido em
5.9.1
A critical buffer overflow vulnerability (CVE-2026-5295) has been identified in wolfSSL, specifically within the PKCS7 decryption process. This flaw allows attackers to exploit a stack buffer overflow by crafting malicious CMS EnvelopedData messages. The vulnerability impacts versions 0.0.0 through 5.9.1 of wolfSSL and has been publicly disclosed on 2026-04-09. A fix is available in version 5.9.1.
A vulnerabilidade CVE-2026-5295 no wolfSSL representa um risco de estouro de buffer na pilha na função wcPKCS7DecryptOri() dentro da implementação PKCS7 do wolfSSL. Isso ocorre ao processar mensagens CMS EnvelopedData que contêm um destinatário OtherRecipientInfo (ORI). A função copia um OID analisado ASN.1 para um buffer de pilha de tamanho fixo (oriOID[MAXOIDSZ]) de 32 bytes usando XMEMCPY sem primeiro validar se o comprimento do OID analisado não excede 32 bytes. Um atacante pode explorar isso criando uma mensagem CMS EnvelopedData maliciosa com um destinatário ORI contendo um OID maior que 32 bytes. Isso pode levar à execução de código arbitrário, negação de serviço ou divulgação de informações confidenciais, dependendo do contexto da aplicação que utiliza o wolfSSL.
Esta vulnerabilidade é particularmente preocupante em sistemas que usam o wolfSSL para o tratamento de comunicações seguras, como servidores web, dispositivos IoT e aplicativos móveis. Os atacantes podem usar isso para interceptar e descriptografar comunicações criptografadas, comprometer a integridade dos dados e obter acesso não autorizado a sistemas sensíveis. A complexidade das mensagens CMS EnvelopedData e a natureza da implementação PKCS7 tornam a detecção desta vulnerabilidade difícil sem inspeção cuidadosa do código-fonte ou o uso de ferramentas de análise de segurança. A ausência de um KEV (Knowledge Enhancement Vector) sugere informações limitadas sobre a exploração no mundo real, mas o risco potencial justifica a atenção imediata.
Systems utilizing wolfSSL in applications handling encrypted data, particularly those dealing with CMS EnvelopedData messages, are at risk. This includes embedded systems, IoT devices, and network appliances. Applications relying on wolfSSL for secure communication are especially vulnerable if they do not perform adequate input validation.
• linux / server:
journalctl -g "wolfSSL" -f | grep -i "buffer overflow"• c:
Review the pkcs7.c file for the vulnerable wcPKCS7DecryptOri() function and ensure it's been patched. Use static analysis tools to identify potential buffer overflow vulnerabilities.
• generic web:
Monitor network traffic for unusual CMS EnvelopedData messages with excessively long OIDs. Examine application logs for errors related to ASN.1 parsing or memory allocation.
disclosure
Status do Exploit
EPSS
0.02% (percentil 5%)
CISA SSVC
A mitigação primária para CVE-2026-5295 é atualizar para a versão 5.9.1 do wolfSSL ou posterior. Esta versão inclui uma correção que valida o comprimento do OID antes de copiá-lo para o buffer da pilha, evitando assim o estouro. Se a atualização imediata não for possível, considere medidas de segurança alternativas, como o uso de firewalls de aplicativos web (WAF) para filtrar mensagens CMS EnvelopedData maliciosas ou a implementação de uma validação de entrada mais rigorosa para verificar os comprimentos dos OIDs antes de processá-los. Avalie cuidadosamente o impacto dessas medidas alternativas no desempenho e na funcionalidade do sistema.
Actualice a la versión 5.9.1 o posterior de wolfSSL para mitigar la vulnerabilidad de desbordamiento de búfer en la pila. Asegúrese de que la biblioteca se compile con --enable-pkcs7 desactivado a menos que sea absolutamente necesario, y si se utiliza, registre un callback de descifrado ORI personalizado.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
PKCS7 (Public-Key Cryptography Standards #7) é um padrão para o formato de dados criptografados e assinaturas digitais.
CMS EnvelopedData é um tipo de mensagem PKCS7 usada para criptografar dados para um ou mais destinatários.
A versão 5.9.1 do wolfSSL inclui uma correção que mitiga a vulnerabilidade de estouro de buffer na pilha.
Considere implementar medidas de segurança alternativas, como o uso de um WAF ou validação de entrada.
Atualmente, não há um KEV disponível, o que sugere que não há informações públicas sobre a exploração ativa, mas o risco potencial justifica a atenção.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.