CVSS: 5.9EPSS: 0%CPEs: 1EXPL: 0CVE-2021-38597
https://notcve.org/view.php?id=CVE-2021-38597
wolfSSL before 4.8.1 incorrectly skips OCSP verification in certain situations of irrelevant response data that contains the NoCheck extension. wolfSSL versiones anteriores a 4.8.1, omite incorrectamente la comprobación OCSP en determinadas situaciones de datos de respuesta irrelevantes que contienen la extensión NoCheck • https://github.com/wolfSSL/wolfssl/commit/f93083be72a3b3d956b52a7ec13f307a27b6e093 https://www.wolfssl.com/docs/wolfssl-changelog • CWE-345: Insufficient Verification of Data Authenticity •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2021-37155
https://notcve.org/view.php?id=CVE-2021-37155
wolfSSL 4.6.x through 4.7.x before 4.8.0 does not produce a failure outcome when the serial number in an OCSP request differs from the serial number in the OCSP response. wolfSSL versiones 4.6.x hasta 4.7.x anteriores a 4.8.0 no produce un resultado de fallo cuando el número de serie en una petición OCSP difiere del número de serie en la respuesta OCSP • https://github.com/wolfSSL/wolfssl/pull/3990 https://github.com/wolfSSL/wolfssl/releases/tag/v4.8.0-stable •
CVSS: 4.9EPSS: 0%CPEs: 1EXPL: 0CVE-2021-24116
https://notcve.org/view.php?id=CVE-2021-24116
In wolfSSL through 4.6.0, a side-channel vulnerability in base64 PEM file decoding allows system-level (administrator) attackers to obtain information about secret RSA keys via a controlled-channel and side-channel attack on software running in isolated environments that can be single stepped, especially Intel SGX. En wolfSSL versiones hasta 4.6.0, una vulnerabilidad de canal lateral en la decodificación de archivos PEM base64 permite a atacantes a nivel de sistema (administrador) obtener información sobre claves RSA secretas por medio de un ataque de canal controlado y de canal lateral en el software ejecutándose entornos aislados que pueden ser de un solo paso, especialmente Intel SGX • https://github.com/UzL-ITS/util-lookup/blob/main/cve-vulnerability-publication.md https://github.com/wolfSSL/wolfssl/releases • CWE-203: Observable Discrepancy •
CVSS: 8.1EPSS: 0%CPEs: 1EXPL: 0CVE-2021-3336
https://notcve.org/view.php?id=CVE-2021-3336
DoTls13CertificateVerify in tls13.c in wolfSSL before 4.7.0 does not cease processing for certain anomalous peer behavior (sending an ED22519, ED448, ECC, or RSA signature without the corresponding certificate). The client side is affected because man-in-the-middle attackers can impersonate TLS 1.3 servers. La función DoTls13CertificateVerify en el archivo tls13.c en wolfSSL versiones hasta 4.7.0, no detiene el procesamiento para determinados comportamientos anómalos de peers (mediante el envío de una firma ED22519, ED448, ECC o RSA sin el certificado correspondiente) El lado del cliente se ve afectado porque los atacantes "man-in-the-middle" pueden hacerse pasar por servidores TLS 1.3 • https://github.com/wolfSSL/wolfssl/pull/3676 https://www.wolfssl.com/docs/security-vulnerabilities • CWE-295: Improper Certificate Validation •
CVSS: 10.0EPSS: 0%CPEs: 1EXPL: 1CVE-2020-36177
https://notcve.org/view.php?id=CVE-2020-36177
RsaPad_PSS in wolfcrypt/src/rsa.c in wolfSSL before 4.6.0 has an out-of-bounds write for certain relationships between key size and digest size. La función RsaPad_PSS en el archivo wolfcrypt/src/rsa.c en wolfSSL versiones anteriores a 4.6.0, presenta una escritura fuera de límites para determinadas relaciones entre el tamaño de la clave y el tamaño del resumen • https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=26567 https://github.com/wolfSSL/wolfssl/commit/63bf5dc56ccbfc12a73b06327361687091a4c6f7 https://github.com/wolfSSL/wolfssl/commit/fb2288c46dd4c864b78f00a47a364b96a09a5c0f https://github.com/wolfSSL/wolfssl/pull/3426 https://github.com/wolfSSL/wolfssl/releases/tag/v4.6.0-stable • CWE-787: Out-of-bounds Write •