製品・ソフトウェアに関する情報

JVN脆弱性詳細

wolfSSL Inc.のwolfSSLにおける証明書検証に関する脆弱性

Title	wolfSSL Inc.のwolfSSLにおける証明書検証に関する脆弱性
Summary	チェーン中間CAがTRUEでkeyCertSignなしの場合でも署名CAとして受け入れられていました。中間CA証明書はキー使用法拡張が存在する場合、keyCertSignキー使用を持つ必要がありますが、証明書パス構築時に追加されるチェーン供給の一時的CA（WOLFSSL_TEMP_CA）は以前このチェックから除外されていたため、keyCertSignを持たない中間CAがCA: TRUEを主張すると署名CAとして受け入れられていました。このチェックは現在、チェーン供給の一時的CAにも適用されており、オペレーターがロードしたルート証明書（WOLFSSL_USER_CA）および自己署名ルートのみが引き続き免除されています。RFC 5280により、Key Usage拡張が存在しない場合はすべての使用が暗黙のうちに許可されるため、拡張が実際に存在する場合（extKeyUsageSet）にのみこの要件が強制されます。OpenSSL互換の証明書パス構築パス（X509_verify_cert / X509_STORE, OPENSSL_EXTRA/OPENSSL_ALL）に影響し、ここで信頼されていないチェーン中間証明書は一時的CAとして追加されます。ネイティブ（非OpenSSL互換）の証明書検証は一時的CAを作成せず影響を受けません。これらのビルド内では、ALLOW_INVALID_CERTSIGNが定義されている場合を除き、このチェックが適用されます。
Possible impacts	・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。・当該ソフトウェアは停止しません。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	June 25, 2026, midnight
Registration Date	June 29, 2026, 11:25 a.m.
Last Update	June 29, 2026, 11:25 a.m.

CVSS3.0 : 警告
Score	5.3
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

Affected System

wolfSSL Inc.

wolfSSL 5.7.4 以上 5.9.2 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-55964	https://www.cve.org/CVERecord?id=CVE-2026-55964
National Vulnerability Database (NVD)
2	CVE-2026-55964	https://nvd.nist.gov/vuln/detail/CVE-2026-55964

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-295	https://cwe.mitre.org/data/definitions/295.html

ベンダー情報

No	Name	URL
wolfSSL
1	wolfSSL Security Vulnerabilities \| Documentation - wolfSSL	https://www.wolfssl.com/docs/security-vulnerabilities/

その他

No	Name	URL
関連文書
1	Various fixes by Frauschi Pull Request #10702 wolfSSL/wolfssl GitHub	https://github.com/wolfSSL/wolfssl/pull/10702

Change Log

No	Changed Details	Date of change
1	[2026年06月29日] 掲載	June 29, 2026, 11:25 a.m.

NVD Vulnerability Information

CVE-2026-55964

Summary	Chain intermediate CA:TRUE without keyCertSign accepted as a signing CA. Intermediate CA certificates are required to have the keyCertSign key usage when a Key Usage extension is present, but chain-supplied temporary CAs (WOLFSSL_TEMP_CA) added while building a certificate path were previously exempted from this check, so an intermediate asserting CA:TRUE but lacking keyCertSign was accepted as a signing CA. The check now applies to chain-supplied temporary CAs as well; only operator-loaded root certificates (WOLFSSL_USER_CA) and self-signed roots remain exempt. Per RFC 5280 an absent Key Usage extension implies all usages, so the requirement is enforced only when the extension is actually present (extKeyUsageSet). Affects the OpenSSL-compatibility certificate-path-building path (X509_verify_cert / X509_STORE, OPENSSL_EXTRA/OPENSSL_ALL), where untrusted chain intermediates are added as temporary CAs; native (non-OpenSSL-compat) certificate verification does not create temporary CAs and is unaffected. Within those builds, the check applies unless ALLOW_INVALID_CERTSIGN is defined.
Publication Date	June 26, 2026, 5:17 a.m.
Registration Date	June 27, 2026, 4:31 a.m.
Last Update	June 27, 2026, 3:53 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:wolfssl:wolfssl::::::::		5.7.4			5.9.2

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/wolfSSL/wolfssl/pull/10702	facts@wolfssl.com
2	https://www.wolfssl.com/docs/security-vulnerabilities/	facts@wolfssl.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-295	不正な証明書検証	https://cwe.mitre.org/data/definitions/295.html