製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

wolfSSL Inc.のwolfSSLにおける証明書検証に関する脆弱性

タイトル	wolfSSL Inc.のwolfSSLにおける証明書検証に関する脆弱性
概要	チェーン中間CAがTRUEでkeyCertSignなしの場合でも署名CAとして受け入れられていました。中間CA証明書はキー使用法拡張が存在する場合、keyCertSignキー使用を持つ必要がありますが、証明書パス構築時に追加されるチェーン供給の一時的CA（WOLFSSL_TEMP_CA）は以前このチェックから除外されていたため、keyCertSignを持たない中間CAがCA: TRUEを主張すると署名CAとして受け入れられていました。このチェックは現在、チェーン供給の一時的CAにも適用されており、オペレーターがロードしたルート証明書（WOLFSSL_USER_CA）および自己署名ルートのみが引き続き免除されています。RFC 5280により、Key Usage拡張が存在しない場合はすべての使用が暗黙のうちに許可されるため、拡張が実際に存在する場合（extKeyUsageSet）にのみこの要件が強制されます。OpenSSL互換の証明書パス構築パス（X509_verify_cert / X509_STORE, OPENSSL_EXTRA/OPENSSL_ALL）に影響し、ここで信頼されていないチェーン中間証明書は一時的CAとして追加されます。ネイティブ（非OpenSSL互換）の証明書検証は一時的CAを作成せず影響を受けません。これらのビルド内では、ALLOW_INVALID_CERTSIGNが定義されている場合を除き、このチェックが適用されます。
想定される影響	・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。・当該ソフトウェアは停止しません。
対策	ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年6月25日0:00
登録日	2026年6月29日11:25
最終更新日	2026年6月29日11:25

CVSS3.0 : 警告
スコア	5.3
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

影響を受けるシステム

wolfSSL Inc.

wolfSSL 5.7.4 以上 5.9.2 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-55964	https://www.cve.org/CVERecord?id=CVE-2026-55964
National Vulnerability Database (NVD)
2	CVE-2026-55964	https://nvd.nist.gov/vuln/detail/CVE-2026-55964

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-295	https://cwe.mitre.org/data/definitions/295.html

ベンダー情報

No	名前	URL
wolfSSL
1	wolfSSL Security Vulnerabilities \| Documentation - wolfSSL	https://www.wolfssl.com/docs/security-vulnerabilities/

その他

No	名前	URL
関連文書
1	Various fixes by Frauschi Pull Request #10702 wolfSSL/wolfssl GitHub	https://github.com/wolfSSL/wolfssl/pull/10702

変更履歴

No	変更内容	変更日
1	[2026年06月29日] 掲載	2026年6月29日11:25

NVD脆弱性情報

CVE-2026-55964

概要	Chain intermediate CA:TRUE without keyCertSign accepted as a signing CA. Intermediate CA certificates are required to have the keyCertSign key usage when a Key Usage extension is present, but chain-supplied temporary CAs (WOLFSSL_TEMP_CA) added while building a certificate path were previously exempted from this check, so an intermediate asserting CA:TRUE but lacking keyCertSign was accepted as a signing CA. The check now applies to chain-supplied temporary CAs as well; only operator-loaded root certificates (WOLFSSL_USER_CA) and self-signed roots remain exempt. Per RFC 5280 an absent Key Usage extension implies all usages, so the requirement is enforced only when the extension is actually present (extKeyUsageSet). Affects the OpenSSL-compatibility certificate-path-building path (X509_verify_cert / X509_STORE, OPENSSL_EXTRA/OPENSSL_ALL), where untrusted chain intermediates are added as temporary CAs; native (non-OpenSSL-compat) certificate verification does not create temporary CAs and is unaffected. Within those builds, the check applies unless ALLOW_INVALID_CERTSIGN is defined.
公表日	2026年6月26日5:17
登録日	2026年6月27日4:31
最終更新日	2026年6月27日3:53

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:wolfssl:wolfssl::::::::		5.7.4			5.9.2

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/wolfSSL/wolfssl/pull/10702	facts@wolfssl.com
2	https://www.wolfssl.com/docs/security-vulnerabilities/	facts@wolfssl.com

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-295	不正な証明書検証	https://cwe.mitre.org/data/definitions/295.html