wolfSSL
IoT、車用與嵌入式系統常用的SSL通訊函式庫wolfSSL,近日發布安全公告,修補可能導致驗證失效的重大漏洞,攻擊者可利用偽造憑證通過驗證。開發商wolfSSL公司已於4月8日發布wolfSSL 5.9.1版修補此漏洞,由於wolfSSL函式庫廣泛應用於IoT與嵌入式裝置,此漏洞可能影響大量設備,用戶應儘速完成修補,以降低遭攻擊風險。
wolfSSL是輕量級TLS/SSL函式庫,專為嵌入式系統、IoT設備、工業控制系統、家電、汽車系統等應用平臺而設計,用於提供加密通訊與憑證驗證等用途。這次修補的漏洞編號為CVE-2026-5194,屬於憑證驗證不當(Improper Certificate Validation)類型弱點,CVSS v4.0嚴重性評分達9.3分,問題源自憑證驗證過程中,未正確檢查憑證hash/digest大小與物件識別碼(Object Identifier,OID)等資訊,從而會降低憑證驗證的安全性,導致系統在特定情況下可能接受不安全的憑證。值得注意的是,wolfSSL公司在公告中感謝Anthropic公司研究人員通報此漏洞,讓人聯想到此漏洞的發現,是否又是Anthropic公司AI工具的又一貢獻。
