Katalog CVE

CVE-2026-6094

KrytyczneCVSS 9.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.26%

Percentyl 18 — wyżej niż 18% wszystkich znanych CVE

Streszczenie

Podatność przepełnienia bufora sterty (heap buffer overread) w funkcji wc_PKCS7_DecodeEnvelopedData podczas parsowania spreparowanych danych PKCS7 EnvelopedData. Może być teoretycznie wywołana przez dane dostarczone przez atakującego za pośrednictwem S/MIME lub CMS.

Ocena ryzyka

Ryzyko polega na możliwości zdalnego wykonania kodu lub ujawnienia poufnych danych poprzez wysłanie specjalnie spreparowanej wiadomości S/MIME lub CMS do podatnej aplikacji.

Rekomendacja

Zaleca się natychmiastową aktualizację biblioteki wolfSSL do wersji zawierającej poprawkę dla CVE-2026-6094 oraz wdrożenie filtrowania ruchu S/MIME i CMS na bramie pocztowej.

Oryginalny opis (angielski, źródło NVD)

Heap buffer overread in wc_PKCS7_DecodeEnvelopedData when parsing crafted PKCS7 EnvelopedData. This could theoretically be triggered by attacker-supplied data delivered via S/MIME or CMS.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS