CVE-2026-3849
KrytyczneStreszczenie
W bibliotece wolfSSL w wersji 5.8.4 występuje podatność typu przepełnienie bufora stosu w funkcji wc_HpkeLabeledExtract, spowodowana przez zbyt dużą konfigurację ECH (Encrypted Client Hello). Złośliwie skonstruowana konfiguracja ECH może prowadzić do przepełnienia bufora, co skutkuje potencjalnym zdalnym wykonaniem kodu oraz awarią programu klienckiego.
Ocena ryzyka
Podatność ta może być wykorzystana przez złośliwy serwer TLS wspierający ECH, co stwarza ryzyko zdalnego wykonania kodu oraz destabilizacji aplikacji klienckich w organizacji.
Rekomendacja
Zaleca się wyłączenie ECH, jeśli nie jest to konieczne, oraz aktualizację do najnowszej wersji wolfSSL, aby zminimalizować ryzyko związane z tą podatnością.
Oryginalny opis (angielski, źródło NVD)
Stack Buffer Overflow in wc_HpkeLabeledExtract via Oversized ECH Config. A vulnerability existed in wolfSSL 5.8.4 ECH (Encrypted Client Hello) support, where a maliciously crafted ECH config could cause a stack buffer overflow on the client side, leading to potential remote execution and client program crash. This could be exploited by a malicious TLS server supporting ECH. Note that ECH is off by default, and is only enabled with enable-ech.

