JVNDB-2026-021510 | |
wolfSSL Inc.のwolfSSLにおける証明書検証に関する脆弱性 | |
| 概要 | |
OpenSSL互換証明書検証器(wolfSSL_X509_verify_cert())におけるX.509信頼チェーン回避(パス深度枯渇)の脆弱性です。これは--enable-opensslextraオプションを有効にしてビルドされ、かつアプリケーションがX509_verify_cert()を呼び出し、呼び出し元が信頼されていない中間証明書を供給する場合にのみ影響します。この問題はそのユーザーにとって重大ですが、それ以外のライブラリ利用者には影響しません。ネイティブなwolfSSLのTLS/DTLSの使用には影響がありません。X509_verify_cert()は信頼アンカーに到達するのではなく、最後に検証されたリンクのみに基づいて成功を返していました。つまり、供給された証明書チェーンが検証器の最大パス深度(デフォルト100)を超えると、深度が尽きるまで信頼されていない中間証明書を処理し続け、構成された信頼アンカーに到達しないままチェーンを受け入れてしまい、攻撃者が制御する証明書を受理させることを許してしまいます。デフォルトのTLSハンドシェイク(WOLFSSL_VERIFY_PEER)には影響がなく、このAPIを通じて手動または遅延検証を行うアプリケーションのみが影響を受けます。 | |
| CVSS による深刻度 (CVSS とは?) | |
|
CVSS v3 による深刻度
基本値: 7.5 (重要) [NVD値]
| |
| 影響を受けるシステム | |
|
| |
wolfSSL Inc. | |
本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。 | |
| 想定される影響 | |
・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 | |
| 対策 | |
ベンダ情報を参照して適切な対策を実施してください。 | |
| ベンダ情報 | |
wolfSSL Inc. | |
| CWEによる脆弱性タイプ一覧 CWEとは? | |
| |
| 共通脆弱性識別子(CVE) CVEとは? | |
|
| |
| 参考情報 | |
| |
| 更新履歴 | |
|
| 公表日 | 2026/06/25 |
| 登録日 | 2026/06/29 |
| 最終更新日 | 2026/06/29 |
