CVE-2026-5448 是 wolfSSL 库中发现的一个缓冲区溢出漏洞,具体位于 X.509 证书的 notAfter 和 notBefore 日期字段的处理逻辑中。攻击者可以通过提供精心构造的 X.509 证书,利用兼容性层 API 直接调用相关函数,触发缓冲区溢出,可能导致拒绝服务。此漏洞影响 wolfSSL 的 0.0.0 到 5.9.1 版本,但 TLS 或证书验证操作不受影响。已发布修复版本 5.9.1。
CVE-2026-5448 影响 wolfSSL,特别是 wolfSSLX509notAfter 和 wolfSSLX509notBefore 函数。此漏洞是当解析精心制作的 X.509 证书中的日期字段时可能发生的缓冲区溢出。重要的是要注意,此漏洞不影响 wolfSSL 中的 TLS 操作或证书验证。风险仅限于直接调用这两个兼容性层 API 的应用程序。攻击者可能利用此漏洞导致拒绝服务,或在更复杂的场景中,破坏应用程序的完整性。
利用 CVE-2026-5448 需要应用程序直接调用 wolfSSLX509notAfter 或 wolfSSLX509notBefore 函数,并使用包含过长日期字段的精心制作的 X.509 证书。由于此漏洞不影响标准的 TLS 操作,攻击者需要控制应用程序中的证书输入才能利用它。这可能发生在应用程序从不可信来源下载证书,或者攻击者可以将恶意证书注入数据流时。缺乏 KEV(知识增强向量)表明有关利用的信息有限。
漏洞利用状态
EPSS
0.02% (4% 百分位)
CISA SSVC
CVE-2026-5448 的主要缓解措施是将 wolfSSL 升级到 5.9.1 或更高版本。此版本包含防止缓冲区溢出的修复。如果无法立即升级,建议避免在应用程序代码中直接使用 wolfSSLX509notAfter 和 wolfSSLX509notBefore 函数。相反,请使用 wolfSSL 的更高层次函数来安全地处理证书验证。监控证书来源并验证证书完整性也有助于降低风险。
Actualice a la versión 5.9.1 o superior de wolfSSL para mitigar el riesgo de desbordamiento de búfer. La actualización corrige la vulnerabilidad al validar correctamente la longitud de los campos de fecha en los certificados X.509, previniendo la ejecución de código malicioso.
漏洞分析和关键警报直接发送到您的邮箱。
不会直接影响。此漏洞不影响 wolfSSL 中标准的 TLS 操作,因此使用 wolfSSL 进行 TLS 的 Web 应用程序,除非直接使用受影响的函数,否则不会受到影响。
避免直接使用 wolfSSLX509notAfter 和 wolfSSLX509notBefore。使用 wolfSSL 的更高层次函数进行证书验证。
目前没有用于检测此漏洞的特定工具。建议手动检查代码以识别受影响函数的直接使用。
KEV(知识增强向量)是一个标识符,提供有关漏洞利用的信息。缺乏 KEV 表明有关利用的信息有限。
检查项目中使用的 wolfSSL 版本。如果它早于 5.9.1 版本,则存在漏洞,应升级。