Plataforma
nginx
Componente
wolfssl
Corrigido em
5.11.0
A vulnerabilidade CVE-2026-5501 afeta a biblioteca wolfSSL, especificamente a função wolfSSLX509verify_cert na camada de compatibilidade OpenSSL. Essa falha permite que um atacante falsifique certificados X.509, comprometendo a autenticidade e integridade das comunicações TLS. Versões afetadas incluem 0.0.0 até 5.9.0, com a correção disponível a partir da versão 5.11.0.
Um atacante pode explorar essa vulnerabilidade obtendo qualquer certificado folha de uma Autoridade Certificadora (CA) confiável, como um certificado DV gratuito do Let's Encrypt. Ao fornecer uma cadeia de certificados com um intermediário não confiável (CA:FALSE) devidamente assinado por uma raiz confiável, o atacante pode forjar um certificado para qualquer nome de assunto com qualquer chave pública e bytes de assinatura arbitrários. A função wolfSSLX509verify_cert retornará sucesso, mesmo com a assinatura inválida. Isso pode levar a ataques de 'man-in-the-middle' (MITM), onde o atacante intercepta e descriptografa o tráfego entre um cliente e um servidor, ou a ataques de phishing, onde o atacante se passa por um site legítimo para roubar informações confidenciais.
A vulnerabilidade foi divulgada em 2026-04-10. Não há informações disponíveis sobre a adição a KEV ou a existência de um EPSS score. Atualmente, não há um Proof of Concept (PoC) público amplamente divulgado, mas a natureza da vulnerabilidade a torna um alvo potencial para exploração. É recomendável monitorar as fontes de inteligência de ameaças para detectar possíveis campanhas de exploração.
Systems utilizing wolfSSL versions 0.0.0 through 5.9.0 are at risk, particularly those relying on the OpenSSL compatibility layer for certificate validation. This includes applications and services that handle sensitive data over TLS, such as web servers, API gateways, and VPN servers. Shared hosting environments using vulnerable wolfSSL versions are also at increased risk due to the potential for cross-tenant attacks.
• nginx: Examine Nginx error logs for unusual certificate validation failures or errors related to certificate chain construction. Use nginx -t to validate configuration after any changes.
grep -i "certificate validation failed" /var/log/nginx/error.log• generic web: Monitor web server access logs for connections using certificates with unexpected or suspicious subject names. Use curl to test certificate validation.
curl -v https://your-website.com --dump-header - | grep Subject:• database (mysql, redis, mongodb, postgresql): While the vulnerability is in wolfSSL, if your database uses wolfSSL for TLS, monitor database connection logs for unusual certificate fingerprints or validation errors. This is less direct but can indicate a compromised connection.
• linux / server: Monitor system logs for unusual TLS connection attempts or errors related to certificate validation. Use journalctl to filter for relevant events.
journalctl -u nginx -g "certificate validation failed"disclosure
patch
Status do Exploit
EPSS
0.03% (percentil 7%)
CISA SSVC
A mitigação primária é atualizar para a versão 5.11.0 ou superior do wolfSSL, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de mitigação temporárias. Uma opção é configurar o servidor para rejeitar cadeias de certificados com intermediários não confiáveis. Além disso, a implementação de regras de firewall ou proxy para bloquear o tráfego de fontes não confiáveis pode ajudar a reduzir o risco. Após a atualização, confirme a correção verificando a versão do wolfSSL instalada e realizando testes de validação de certificados.
Atualize para a versão 5.11.0 ou superior do wolfSSL para mitigar a vulnerabilidade. Esta atualização corrige a falha na verificação de assinaturas de certificados X.509, evitando que certificados raiz falsificados sejam aceitos. Verifique a documentação do wolfSSL para obter instruções de atualização específicas para o seu ambiente.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-5501 é uma falha na função de verificação de certificados X.509 na biblioteca wolfSSL, permitindo a falsificação de certificados TLS.
Se você estiver utilizando wolfSSL nas versões de 0.0.0 a 5.9.0, você está potencialmente afetado. Verifique a versão instalada e atualize.
A correção é atualizar para a versão 5.11.0 ou superior do wolfSSL. Se a atualização não for imediata, considere medidas de mitigação temporárias.
Atualmente, não há confirmação de exploração ativa, mas a vulnerabilidade é considerada um alvo potencial.
Consulte o site oficial do wolfSSL para obter o aviso de segurança e informações adicionais sobre a correção.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.