Plataforma
c
Componente
wolfssl
Corrigido em
5.9.1
CVE-2026-5393 describes an out-of-bounds read vulnerability discovered in wolfSSL. This flaw arises during the processing of dual-algorithm CertificateVerify messages, specifically when the software is compiled with the --enable-experimental and --enable-dual-alg-certs flags. Affected versions include those from 0.0.0 up to and including 5.9.1; upgrading to version 5.9.1 resolves the issue.
CVE-2026-5393 afeta o wolfSSL, especificamente versões construídas com as opções de compilação experimentais --enable-experimental e --enable-dual-alg-certs. Esta vulnerabilidade envolve uma leitura fora dos limites durante o processamento de mensagens CertificateVerify de algoritmo duplo. Um atacante pode explorar essa falha para ler dados confidenciais da memória do sistema, comprometendo potencialmente a integridade e a confidencialidade das comunicações criptografadas. A gravidade do impacto depende do contexto da aplicação que utiliza o wolfSSL e da sensibilidade dos dados tratados. A atualização para a versão 5.9.1 ou posterior é crucial para mitigar esse risco. A vulnerabilidade é particularmente preocupante em ambientes onde a segurança da comunicação TLS/SSL é crítica, como servidores web, dispositivos IoT e aplicativos móveis.
A exploração de CVE-2026-5393 requer que a aplicação esteja utilizando o wolfSSL com as opções --enable-experimental e --enable-dual-alg-certs habilitadas. Um atacante precisaria enviar uma mensagem CertificateVerify especialmente elaborada para acionar a leitura fora dos limites. A complexidade da exploração depende da capacidade do atacante de criar esta mensagem maliciosa. Dado que as opções experimentais são destinadas a fins de desenvolvimento e teste, é menos provável que sejam utilizadas em ambientes de produção, limitando o escopo potencial da vulnerabilidade. No entanto, se utilizadas em produção, o risco de exploração é significativo. A natureza da vulnerabilidade permite a leitura potencial da memória, o que poderia levar à divulgação de informações confidenciais.
Applications and systems utilizing wolfSSL versions 0.0.0 through 5.9.1 that have been compiled with the --enable-experimental and --enable-dual-alg-certs flags are at risk. This includes embedded systems, IoT devices, and any software relying on wolfSSL for secure communication where these specific build options are enabled.
• linux / server:
ps aux | grep wolfSSL• c / generic web:
Inspect wolfSSL build configurations for the presence of --enable-experimental and --enable-dual-alg-certs flags. Review application logs for any errors related to certificate verification or memory access.
disclosure
Status do Exploit
EPSS
0.04% (percentil 13%)
CISA SSVC
A principal mitigação para CVE-2026-5393 é atualizar para a versão 5.9.1 ou posterior do wolfSSL. Esta versão inclui uma correção que aborda a leitura fora dos limites. Se uma atualização imediata não for possível, recomenda-se desabilitar as opções de compilação --enable-experimental e --enable-dual-alg-certs se não forem absolutamente necessárias. Isso impedirá que a vulnerabilidade seja acionada. Além disso, revise as configurações de segurança das aplicações que utilizam o wolfSSL para garantir que estejam utilizando as melhores práticas de segurança. Monitorar os logs do sistema em busca de atividades suspeitas também pode ajudar a detectar possíveis tentativas de exploração. Lembre-se, a atualização é a solução mais eficaz e recomendada.
Actualice a la versión 5.9.1 o posterior de wolfSSL. Esta versión corrige la vulnerabilidad de lectura fuera de límites en la función DoTls13CertificateVerify al procesar mensajes de verificación de certificado de doble algoritmo. Asegúrese de no habilitar las opciones experimentales y de doble algoritmo a menos que sean absolutamente necesarias.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma mensagem usada no protocolo TLS/SSL para verificar a autenticidade de um certificado digital.
Significa que o programa tenta acessar uma região de memória que não está alocada para uso, o que pode levar a uma falha ou divulgação de dados.
São opções de compilação que habilitam recursos experimentais e suporte para certificados de algoritmo duplo no wolfSSL. Seu uso aumenta o risco desta vulnerabilidade.
Desabilitar as opções --enable-experimental e --enable-dual-alg-certs é uma mitigação temporária.
Atualmente, não existem ferramentas específicas disponíveis, mas é recomendável revisar a configuração do wolfSSL e as opções de compilação.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.