影響を受けるユーザ
v1.4.21より前のwolfSSHでSFTPサーバを使用しているユーザ
概要
wolfSSHのSFTPサーバ実装においてスタックオーバーフローの脆弱性が発見されました。SFTP接続が確立された後、悪意のあるSFTPクライアントが特別に細工された読み取り、書き込み、状態設定のSFTPパケットを送信することで、SFTPサーバコードがスタック境界を超えて書き込みを行う可能性があります。スタックオーバーフロー書き込みには、マクロWOLFSSH_MAX_HANDLEによる上限(デフォルト:256バイト)があります。
本脆弱性に対する対応はPull Request #834で実施しました。この脆弱性を発見し、報告してくださったAisle ResearchのStanislav Fort氏に感謝いたします。
ご質問がございましたら、info@wolfssl.jp までお問い合わせください。
原文:https://www.wolfssl.com/vulnerability-disclosure-wolfssh-cve-2025-11624