Page 4 of 51 results (0.005 seconds)

CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0

In wolfSSL before 5.2.0, certificate validation may be bypassed during attempted authentication by a TLS 1.3 client to a TLS 1.3 server. This occurs when the sig_algo field differs between the certificate_verify message and the certificate message. En wolfSSL versiones anteriores a 5.2.0, una comprobación del certificado puede ser omitida durante el intento de autenticación por parte de un cliente TLS versión 1.3 a un servidor TLS versión 1.3. Esto ocurre cuando el campo sig_algo difiere entre el mensaje certificate_verify y el mensaje de certificado • https://github.com/wolfSSL/wolfssl/pull/4813 https://www.wolfssl.com/docs/security-vulnerabilities • CWE-295: Improper Certificate Validation •

CVSS: 5.9EPSS: 0%CPEs: 1EXPL: 0

wolfSSL before 4.8.1 incorrectly skips OCSP verification in certain situations of irrelevant response data that contains the NoCheck extension. wolfSSL versiones anteriores a 4.8.1, omite incorrectamente la comprobación OCSP en determinadas situaciones de datos de respuesta irrelevantes que contienen la extensión NoCheck • https://github.com/wolfSSL/wolfssl/commit/f93083be72a3b3d956b52a7ec13f307a27b6e093 https://www.wolfssl.com/docs/wolfssl-changelog • CWE-345: Insufficient Verification of Data Authenticity •

CVSS: 4.9EPSS: 0%CPEs: 1EXPL: 0

In wolfSSL through 4.6.0, a side-channel vulnerability in base64 PEM file decoding allows system-level (administrator) attackers to obtain information about secret RSA keys via a controlled-channel and side-channel attack on software running in isolated environments that can be single stepped, especially Intel SGX. En wolfSSL versiones hasta 4.6.0, una vulnerabilidad de canal lateral en la decodificación de archivos PEM base64 permite a atacantes a nivel de sistema (administrador) obtener información sobre claves RSA secretas por medio de un ataque de canal controlado y de canal lateral en el software ejecutándose entornos aislados que pueden ser de un solo paso, especialmente Intel SGX • https://github.com/UzL-ITS/util-lookup/blob/main/cve-vulnerability-publication.md https://github.com/wolfSSL/wolfssl/releases • CWE-203: Observable Discrepancy •

CVSS: 8.1EPSS: 0%CPEs: 1EXPL: 0

DoTls13CertificateVerify in tls13.c in wolfSSL before 4.7.0 does not cease processing for certain anomalous peer behavior (sending an ED22519, ED448, ECC, or RSA signature without the corresponding certificate). The client side is affected because man-in-the-middle attackers can impersonate TLS 1.3 servers. La función DoTls13CertificateVerify en el archivo tls13.c en wolfSSL versiones hasta 4.7.0, no detiene el procesamiento para determinados comportamientos anómalos de peers (mediante el envío de una firma ED22519, ED448, ECC o RSA sin el certificado correspondiente) El lado del cliente se ve afectado porque los atacantes "man-in-the-middle" pueden hacerse pasar por servidores TLS 1.3 • https://github.com/wolfSSL/wolfssl/pull/3676 https://www.wolfssl.com/docs/security-vulnerabilities • CWE-295: Improper Certificate Validation •

CVSS: 10.0EPSS: 0%CPEs: 1EXPL: 1

RsaPad_PSS in wolfcrypt/src/rsa.c in wolfSSL before 4.6.0 has an out-of-bounds write for certain relationships between key size and digest size. La función RsaPad_PSS en el archivo wolfcrypt/src/rsa.c en wolfSSL versiones anteriores a 4.6.0, presenta una escritura fuera de límites para determinadas relaciones entre el tamaño de la clave y el tamaño del resumen • https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=26567 https://github.com/wolfSSL/wolfssl/commit/63bf5dc56ccbfc12a73b06327361687091a4c6f7 https://github.com/wolfSSL/wolfssl/commit/fb2288c46dd4c864b78f00a47a364b96a09a5c0f https://github.com/wolfSSL/wolfssl/pull/3426 https://github.com/wolfSSL/wolfssl/releases/tag/v4.6.0-stable • CWE-787: Out-of-bounds Write •