CVE-2026-3849

EPSS 0.29%
Veröffentlicht 19.03.2026 20:29:30
Zuletzt bearbeitet 20.03.2026 13:39:46
Quelle facts@wolfssl.com
CVE-Watchlists
Login
Unerledigt
Login

Stack Buffer Overflow in wc_HpkeLabeledExtract via Oversized ECH Config. A vulnerability existed in wolfSSL 5.8.4 ECH (Encrypted Client Hello) support, where a maliciously crafted ECH config could cause a stack buffer overflow on the client side, leading to potential remote execution and client program crash. This could be exploited by a malicious TLS server supporting ECH. Note that ECH is off by default, and is only enabled with enable-ech.

Betroffene Produkte Warnungen 0 Metriken 2 CWE 1 Referenzen 4

Verknüpft mit AI von unstrukturierten Daten zu bestehenden CPE der NVD

Diese Information steht angemeldeten Benutzern zur Verfügung.

Daten sind bereitgestellt durch das CVE Programm von einer CVE Numbering Authority (CNA) (Unstrukturiert).

HerstellerwolfSSL Inc.

≫

Produkt wolfSSL

Default Statusunaffected

Version <= v5.8.4-stable

Version v5.6.0-stable

Status affected

Zu dieser CVE wurde keine CISA KEV oder CERT.AT-Warnung gefunden.

EPSS Metriken
Typ	Quelle	Score	Percentile
EPSS	FIRST.org	0.29%	0.52

CVSS Metriken
Quelle	Base Score	Exploit Score	Impact Score	Vector String
facts@wolfssl.com	6.9	0	0	CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:L/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:D/RE:M/U:Amber

CWE-787 Out-of-bounds Write

The product writes data past the end, or before the beginning, of the intended buffer.

https://github.com/wolfSSL/wolfssl/pull/9737

https://nvd.nist.gov/vuln/detail/CVE-2026-3849

CVE Source (NVD)

https://cveawg.mitre.org/api/cve/CVE-2026-3849

CVE Source (JSON)

https://euvd.enisa.europa.eu/vulnerability/CVE-2026-3849

EUVD

Team-orientierte Vulnerability Management Plattform

Features der Plattform

CVE-2026-3849