**wolfSSL**, uma implementação TLS/SSL leve amplamente utilizada em sistemas embarcados, dispositivos IoT e várias outras aplicações, está sob escrutínio devido a uma vulnerabilidade recém-descoberta. ### A Vulnerabilidade: CVE-2026-5194 Pesquisadores identificaram a **CVE-2026-5194**, uma falha de validação criptográfica que afeta vários algoritmos de assinatura dentro do **wolfSSL**. Essa vulnerabilidade permite que *digests* indevidamente fracos sejam aceitos durante a verificação de certificados, permitindo potencialmente que atacantes usem certificados forjados. A falha impacta vários algoritmos, incluindo ECDSA/ECC, DSA, ML-DSA, Ed25519 e Ed448. A vulnerabilidade foi descoberta por Nicholas Carlini, da **Anthropic**. ### Impacto De acordo com especialistas, a exploração bem-sucedida da **CVE-2026-5194** poderia enganar aplicações ou dispositivos que utilizam uma versão vulnerável do **wolfSSL** para aceitar uma identidade digital forjada. Isso poderia levar a um servidor, arquivo ou conexão maliciosa sendo confiável quando deveria ter sido rejeitado. Um atacante poderia explorar essa fraqueza fornecendo um certificado forjado com um *digest* menor do que o criptograficamente apropriado, tornando a assinatura mais fácil de falsificar ou reproduzir. ### Mitigação A vulnerabilidade foi corrigida na versão 5.9.1 do **wolfSSL**, lançada em 8 de abril. Os usuários são fortemente aconselhados a atualizar para esta versão ou posterior. "Verificações ausentes de tamanho de hash/digest e OID permitem que *digests* menores do que o permitido ao verificar certificados ECDSA, ou menores do que o apropriado para o tipo de chave relevante, sejam aceitos pelas funções de verificação de assinatura", afirma o aviso de segurança. ### Avisos do Fornecedor Administradores de sistemas que gerenciam ambientes que dependem de pacotes de distribuição Linux, firmware de fornecedores e SDKs embarcados também devem procurar avisos de fornecedores downstream para obter orientações específicas. Por exemplo, o aviso da **Red Hat** afirma que o MariaDB não é afetado porque usa OpenSSL em vez de wolfSSL para operações criptográficas. Organizações que utilizam **wolfSSL** são aconselhadas a revisar suas implementações e aplicar as atualizações de segurança prontamente para garantir que a validação de certificados permaneça segura.