CVE-2026-6291
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 7 — wyżej niż 7% wszystkich znanych CVE
Streszczenie
Podatność Bleichenbacher padding oracle w implementacji PKCS#7 KTRI w bibliotece wolfSSL. Podczas deszyfrowania PKCS#7 EnvelopedData z wykorzystaniem RSA PKCS#1 v1.5, biblioteka zwracała rozróżnialne kody błędów w zależności od tego, czy walidacja paddingu RSA zakończyła się niepowodzeniem, czy też odszyfrowana treść była nieprawidłowa. Umożliwiało to atakującemu stopniowe odzyskiwanie klucza szyfrowania treści (CEK) poprzez obserwację odpowiedzi błędów.
Ocena ryzyka
Ryzyko polega na możliwości odzyskania klucza szyfrowania treści (CEK) przez atakującego, co może prowadzić do odszyfrowania chronionych danych przesyłanych w formacie PKCS#7 EnvelopedData.
Rekomendacja
Należy zaktualizować bibliotekę wolfSSL do wersji zawierającej poprawkę, która generuje deterministyczny pseudolosowy fałszywy CEK w przypadku niepowodzenia paddingu i kontynuuje deszyfrowanie w sposób stały czasowo, aby wszystkie ścieżki błędów zwracały ten sam komunikat.
Oryginalny opis (angielski, źródło NVD)
Bleichenbacher padding oracle in PKCS#7 KTRI decryption. When decrypting PKCS#7 EnvelopedData using RSA PKCS#1 v1.5 key transport, wolfSSL returned distinguishable error codes depending on whether RSA padding validation failed versus whether the decrypted content was malformed. An attacker able to submit crafted EnvelopedData messages and observe error responses could use this as a padding oracle to incrementally recover the encrypted Content Encryption Key (CEK). The fix generates a deterministic pseudo-random fake CEK on padding failure (via HMAC-SHA256) and proceeds with decryption identically, using constant-time operations throughout, so that all failure paths produce the same error regardless of padding validity.

