wolfSSL 堆 (Heap) OOB 读取漏洞发生在 PKCS7 SignedData 流式传输中

CVE-2026-5392 在 wolfSSL 中代表了 PKCS7 解析过程中的堆内存越界读取漏洞。攻击者可以通过构造特制的 PKCS7 消息来利用此漏洞，从而可能读取服务器内存中的敏感数据。这可能导致机密信息的泄露，例如私钥、密码或其他由使用 wolfSSL 的应用程序处理的敏感数据。此漏洞的根本原因是 PKCS7_VerifySignedData() 函数中无限长度内容验证循环中缺少边界检查。此问题的严重程度取决于应用程序的上下文以及正在处理的数据的敏感性。

Applications and devices that rely on wolfSSL for secure communication, particularly those handling sensitive data like financial transactions or personal information, are at risk. Embedded systems and IoT devices using older, unpatched versions of wolfSSL are especially vulnerable due to the difficulty of updating software on these platforms.

• c - Compile wolfSSL with debugging symbols and use memory analysis tools (e.g., Valgrind) to detect out-of-bounds reads during PKCS7 parsing. • c - Instrument the PKCS7_VerifySignedData() function with logging to track memory access patterns and identify potential out-of-bounds reads. • c - Monitor application crash logs for errors related to memory access violations or heap corruption, particularly when handling PKCS7 messages.

1. 2026-04-09Disclosure

   Public Disclosure

1. 已保留2026-04-01
2. 发布日期2026-04-09
3. 修改日期2026-04-10
4. EPSS 更新日期2026-04-17

针对 CVE-2026-5392 的主要缓解措施是升级到 wolfSSL 5.9.1 或更高版本。此版本包含防止堆内存越界读取所需的修复程序。如果无法立即升级，请考虑实施其他安全措施，例如严格验证传入的 PKCS7 消息并限制用于处理这些消息的内存量。升级后进行彻底的测试至关重要，以确保修复程序已正确应用并且未引入任何新问题。持续的系统监控对于检测任何可疑活动也很重要。