CVE-2023-6937 in wolfSSL
الملخص
بحسب VulDB • 04/06/2026
لم يقم wolfSSL قبل الإصدار 5.6.6 بالتحقق من أن الرسائل في سجل (D)TLS واحد لا تتجاوز حدود المفاتيح. ونتيجة لذلك، كان من الممكن دمج رسائل (D)TLS باستخدام مفاتيح مختلفة في سجل (D)TLS واحد. تمثل الحالة الحدية الأكثر تطرفاً أنه في (D)TLS 1.3، كان من الممكن أن يقبل عميل wolfSSL سجلاً غير مشفر لـ(D)TLS الإصدار 1.3 صادرًا عن الخادم يحتوي أولاً على رسالة ServerHello ثم باقي الرحلة الأولى للخادم. في (D)TLS 1.3 تكون المصافحة مشفرة بعد رسالة ServerHello، لكن عميل wolfSSL كان يقبل رحلة غير مشفرة من الخادم. لا يؤدي هذا إلى المساس بمفاوضات المفاتيح والمصادقة، لذا تم تعيين درجة خطورة منخفضة له.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.