wolfSSL 庫中發現了一個重大漏洞 (CVE-2026-5194)，影響 50 億台設備，包括路由器、物聯網設備和軍事系統。了解此漏洞如何使駭客偽造數位身份，以及為何您應該立即更新到 5.9.1 版本。

wolfSSL庫被發現有安全漏洞。該庫是一套用於加密約50億台設備和應用程式資料的程式碼。製造商使用此工具來確保在電腦、路由器甚至軍事系統之間傳輸的資料的隱私性。鑑於其在智慧家庭感測器、遊戲和工業工具中的廣泛應用，此漏洞的影響範圍相當廣泛。

漏洞的工作原理

此問題編號為 CVE-2026-5194，是 wolfSSL 函式庫處理基於憑證的驗證方式有缺陷。憑證認證是指裝置檢查數位 ID 以確保連線安全的過程。 Anthropic Frontier Red Team 的研究員Nicholas Carlini指出，wolfSSL 未能驗證摘要的大小（摘要類似於數位指紋），也沒有檢查 OID。

OID 是一個標籤，它顯示了用於簽署 ID 的數學公式。如果缺少這些檢查，駭客就可以偽造這些 ID，誘使裝置信任虛假伺服器或惡意檔案。

根據官方安全公告，這些缺失的檢查機制允許簽章驗證功能接受小於 FIPS 186-4 或 186-5 標準允許的摘要。這項漏洞降低了認證過程的安全性，並影響多種簽章演算法，包括 ECDSA/ECC、DSA、ML-DSA、ED25519 和 ED448。

對於在憑證驗證期間同時啟用了 ECC 和 EdDSA 或 ML-DSA 的軟體建置版本而言，此漏洞尤其危險。紅帽公司將此漏洞的嚴重性評分定為10 分（滿分 10 分），因為它無需用戶點擊任何按鈕即可觸發；而該漏洞在國家漏洞資料庫中的評分為 9.3 分。

正在更新您的設備

該漏洞已由 WolfSSL 在 2026 年 4 月 8 日發布的 5.9.1 版本中修復。該公司現在已大幅加強了哈希值和摘要大小的檢查。但即便有了補丁，這個問題可能仍未徹底解決。目前主要令人擔憂的是那些已停止廠商支援的舊設備。

許多路由器、家用電器或其他舊設備可能永遠不會獲得更新，這使它們容易受到網路威脅。因此，如果您使用 VPN 或擁有智慧家庭設備，請務必安裝所有可用的韌體更新，以確保硬體安全。

Closed Door Security 的執行長 William Wright 就此漏洞向 Hackread.com 分享了以下評論，他警告說，wolfSSL 的廣泛使用使此漏洞成為一個重大的供應鏈問題，因為組織通常難以識別和修補所有受影響的設備，尤其是不受監控或過時的系統，而攻擊者經常以這些系統為目標。

資料來源：https://hackread.com/wolfssl-vulnerability-iot-routers-military-systems/