CVE-2026-5263
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 5 - wyżej niż 5% wszystkich znanych CVE
Streszczenie
Podatność w bibliotece wolfSSL powoduje, że ograniczenia nazw URI (nameConstraints) z certyfikatów pośrednich są parsowane, ale nie są egzekwowane podczas weryfikacji łańcucha certyfikatów. Oznacza to, że zaufany, ale skompromitowany podrzędny urząd certyfikacji (sub-CA) może wystawić certyfikat końcowy z wpisem URI w SAN, który narusza ograniczenia nałożone przez nadrzędny CA, a wolfSSL uzna go za prawidłowy.
Ocena ryzyka
Organizacja może zaakceptować fałszywe certyfikaty końcowe z nieautoryzowanymi identyfikatorami URI, co umożliwia ataki typu man-in-the-middle lub podszywanie się pod zaufane usługi, jeśli atakujący kontroluje podrzędny CA.
Rekomendacja
Należy niezwłocznie zaktualizować bibliotekę wolfSSL do wersji, w której poprawiono egzekwowanie nameConstraints dla URI. Jeśli aktualizacja nie jest możliwa, należy tymczasowo ograniczyć zaufanie do podrzędnych CA lub ręcznie zweryfikować zgodność URI SAN z ograniczeniami.
Oryginalny opis (angielski, źródło NVD)
URI nameConstraints from constrained intermediate CAs are parsed but not enforced during certificate chain verification in wolfcrypt/src/asn.c. A compromised or malicious sub-CA could issue leaf certificates with URI SAN entries that violate the nameConstraints of the issuing CA, and wolfSSL would accept them as valid.

