CVE-2026-55961
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 3 — wyżej niż 3% wszystkich znanych CVE
Streszczenie
Podatność w bibliotece wolfSSL dotyczy funkcji PKCS7_verify(), która błędnie zwracała sukces dla zdegenerowanych obiektów PKCS#7 zawierających tylko certyfikaty, bez podpisu. Taki obiekt ma puste pole signerInfos, przez co weryfikacja podpisanych danych kończy się sukcesem bez uwierzytelnienia jakiejkolwiek treści.
Ocena ryzyka
Organizacja może zaakceptować fałszywie zweryfikowane dane PKCS#7, które nie zawierają rzeczywistego podpisu, co prowadzi do ryzyka naruszenia integralności i autentyczności danych.
Rekomendacja
Zaleca się natychmiastową aktualizację biblioteki wolfSSL do wersji, w której poprawiono funkcję PKCS7_verify() w kompatybilnej ścieżce OpenSSL, aby odrzucała obiekty bez zweryfikowanego podpisu, niezależnie od flagi PKCS7_NOVERIFY.
Oryginalny opis (angielski, źródło NVD)
wolfSSL_PKCS7_verify() returning success for a degenerate (certs-only) PKCS#7 object that contains no signer. Such an object has empty signerInfos, so the underlying signed-data verification succeeds without authenticating any content. The compatibility-layer verify path now rejects the object when no signer signature has actually been verified, so a PKCS#7 carrying no valid signature is no longer reported as verified. This is enforced regardless of the PKCS7_NOVERIFY flag, which only suppresses signer certificate chain validation and was never intended to waive the requirement that a signature exist. Only affects OpenSSL compatibility builds that call the PKCS7_verify() compatibility API on potentially degenerate PKCS#7 bundles.

