CVE-2026-5460 in wolfSSL
Riassunto
di VulDB • 02/07/2026
È presente un bug di tipo use-after-free nell'heap relativo all'elaborazione ibrida KeyShare della crittografia post-quantistica (PQC) TLS 1.3 in wolfSSL. Nel percorso di gestione degli errori di `TLSX_KeyShare_ProcessPqcHybridClient()` in `src/tls.c`, la funzione interna `TLSX_KeyShare_ProcessPqcClient_ex()` libera un oggetto KyberKey al verificarsi di un errore. Il chiamante invoca quindi `TLSX_KeyShare_FreeAll()`, che tenta di invocare `ForceZero()` sull'oggetto KyberKey già liberato, causando scritture di zero byte nella memoria heap precedentemente rilasciata.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.