wolfSSL - CVE-2026-5501

Il s'agit d'une vulnérabilité dans la fonction wolfSSL_X509_verify_cert() de la couche de compatibilité OpenSSL, au niveau du fichier src/x509_str.c.

wolfSSL est une bibliothèque cryptographique légère et portable, spécialisée dans l'implémentation des protocoles TLS et SSL. Elle est conçue pour les environnements embarqués, l'IoT et les systèmes à ressources contraintes, et propose une couche de compatibilité avec l'API OpenSSL pour faciliter l'intégration dans des applications existantes telles que nginx et haproxy.

Lors de la validation d'une chaîne de certificats, la signature du certificat feuille n'est pas vérifiée si un attaquant fournit un intermédiaire non fiable portant la contrainte CA:FALSE mais légitimement signé par une racine de confiance. Un simple certificat DV (par exemple Let's Encrypt) suffit alors pour forger un certificat pour n'importe quel nom de domaine avec des octets de signature arbitraires, la fonction retournant WOLFSSL_SUCCESS de façon incorrecte. Le chemin natif ProcessPeerCerts n'est pas affecté.

Elle permet à un attaquant de contourner intégralement la validation X.509 dans les applications utilisant directement la compatibilité OpenSSL de wolfSSL, notamment nginx et haproxy.