CVE-2026-5188 是 wolfSSL 在解析 X.509 证书的 Subject Alternative Name (SAN) 扩展时发现的整数下溢漏洞。当解析恶意构造的证书时,由于长度计算错误,可能导致证书数据处理不正确。该漏洞影响 wolfSSL 的 0.0.0 到 5.9.0 版本,但仅限于使用原始 ASN.1 解析实现(默认关闭)。已发布 5.11.0 版本修复了此问题。
CVE-2026-5188 影响广泛使用的密码库 wolfSSL。该漏洞在于 X.509 证书中 Subject Alternative Name (SAN) 扩展的处理。恶意证书可以包含长度超过其包含序列的 SAN 条目,从而在解析过程中导致整数溢出。这可能导致证书数据处理不正确,从而可能允许中间人攻击或接受欺诈性证书。重要的是要注意,此漏洞仅在默认情况下禁用的原始 ASN.1 解析实现中使用时才会触发。漏洞的严重程度将取决于 wolfSSL 的特定配置和使用环境。
利用此漏洞需要能够将恶意 X.509 证书提供给使用原始 ASN.1 实现的 wolfSSL 的系统。这可能发生在各种场景中,包括 Web 服务器、电子邮件客户端或使用 wolfSSL 进行证书验证的任何应用程序。攻击者可以创建一个具有格式错误的 SAN 条目的伪造证书,然后尝试将其用于拦截网络流量或冒充合法网站。利用难度取决于攻击者生成恶意证书的能力以及目标系统的安全配置。
Applications and devices utilizing wolfSSL versions 0.0.0 through 5.9.0 are at risk. This includes embedded systems, IoT devices, VPN servers and clients, and any application relying on wolfSSL for TLS/SSL communication. Specifically, systems that automatically accept certificates without rigorous validation are particularly vulnerable.
• linux / server:
find /usr/local/lib /usr/lib -name 'libwolfssl.so*' -print0 | xargs -0 strings | grep -i 'wolfssl version 5.9.0' #Check for vulnerable versions• generic web:
curl -I https://example.com | grep 'Server:' #Check for wolfSSL server signaturedisclosure
漏洞利用状态
EPSS
0.04% (11% 百分位)
CISA SSVC
建议的解决方案是升级到 wolfSSL 版本 5.11.0 或更高版本。此版本通过实施额外的安全措施来防止 SAN 扩展解析期间的整数溢出,从而修复了漏洞。如果无法立即升级,请检查 wolfSSL 配置以确保未启用原始 ASN.1 实现。此外,实施强大的证书验证实践,包括信任链验证和 SAN 扩展中的域名检查。监控 wolfSSL 日志中与证书解析相关的错误也可以帮助检测潜在攻击。
Actualice a la versión 5.11.0 o posterior de wolfSSL para mitigar el problema. La vulnerabilidad se solucionó deshabilitando el analizador ASN.1 original y utilizando el analizador ASN.1 seguro por defecto. Verifique la documentación de wolfSSL para obtener instrucciones de actualización específicas.
漏洞分析和关键警报直接发送到您的邮箱。
ASN.1 (Abstract Syntax Notation One) 是定义数据格式的标准。wolfSSL 使用特定的 ASN.1 实现,该实现存在此漏洞。
如果您使用 wolfSSL 并且启用了原始 ASN.1 实现,则很可能受到影响。请检查您的 wolfSSL 配置。
如果可能,请禁用原始 ASN.1 实现。实施强大的证书验证并监控 wolfSSL 日志。
是的,此漏洞是公开的,并在 CVE-2026-5188 中记录。
有几种证书分析工具可以帮助检测恶意证书,包括利用此漏洞的工具。