CVE-2026-5460 in wolfSSLinformazioni

Riassunto

di VulDB • 02/07/2026

È presente un bug di tipo use-after-free nell'heap relativo all'elaborazione ibrida KeyShare della crittografia post-quantistica (PQC) TLS 1.3 in wolfSSL. Nel percorso di gestione degli errori di `TLSX_KeyShare_ProcessPqcHybridClient()` in `src/tls.c`, la funzione interna `TLSX_KeyShare_ProcessPqcClient_ex()` libera un oggetto KyberKey al verificarsi di un errore. Il chiamante invoca quindi `TLSX_KeyShare_FreeAll()`, che tenta di invocare `ForceZero()` sull'oggetto KyberKey già liberato, causando scritture di zero byte nella memoria heap precedentemente rilasciata.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsabile

wolfSSL

Prenotare

03/04/2026

Divulgazione

10/04/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00275

KEV

no

Attività

molto basso

Fonti

Want to stay up to date on a daily basis?

Enable the mail alert feature now!