CVE-2026-3547

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2026-3547
Out-of-bounds read in ALPN parsing due to incomplete validation. wolfSSL 5.8.4 and earlier contained an out-of-bounds read in ALPN handling when built with ALPN enabled (HAVE_ALPN / --enable-alpn). A crafted ALPN protocol list could trigger an out-of-bounds read, leading to a potential process crash (denial of service). Note that ALPN is disabled by default, but is enabled for these 3rd party compatibility features: enable-apachehttpd, enable-bind, enable-curl, enable-haproxy, enable-hitch, enable-lighty, enable-jni, enable-nginx, enable-quic.

7.5 /10

CVSS v3 : HIGH

V3 Legend

Vector :

Exploitability : 3.9 / Impact : 3.6

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction NONE

Confidentiality Impact NONE

Integrity Impact NONE

Availability Impact HIGH

Scope UNCHANGED

References
Link Resource
https://github.com/wolfSSL/wolfssl/pull/9859 Issue Tracking Patch
Configurations

Configuration 1 (hide)

cpe:2.3:a:wolfssl:wolfssl:*:*:*:*:*:*:*:*
History

26 Mar 2026, 18:27

Type Values Removed Values Added
Summary
  • (es) Lectura fuera de límites en el análisis de ALPN debido a una validación incompleta. wolfSSL 5.8.4 y versiones anteriores contenían una lectura fuera de límites en el manejo de ALPN cuando se compilaba con ALPN habilitado (HAVE_ALPN / --enable-alpn). Una lista de protocolos ALPN manipulada podría desencadenar una lectura fuera de límites, lo que podría llevar a un bloqueo potencial del proceso (denegación de servicio). Tenga en cuenta que ALPN está deshabilitado por defecto, pero está habilitado para estas características de compatibilidad de terceros: enable-apachehttpd, enable-bind, enable-curl, enable-haproxy, enable-hitch, enable-lighty, enable-jni, enable-nginx, enable-quic.
References () https://github.com/wolfSSL/wolfssl/pull/9859 - () https://github.com/wolfSSL/wolfssl/pull/9859 - Issue Tracking, Patch
CPE cpe:2.3:a:wolfssl:wolfssl:*:*:*:*:*:*:*:*
First Time Wolfssl
Wolfssl wolfssl

19 Mar 2026, 21:17

Type Values Removed Values Added
New CVE
Information

Published : 2026-03-19 21:17

Updated : 2026-03-26 18:27

NVD link : CVE-2026-3547

Mitre link : CVE-2026-3547

CVE.ORG link : CVE-2026-3547

JSON object : View

Products Affected

wolfssl

  • wolfssl
CWE
CWE-125

Out-of-bounds Read