Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2026-00782

Опубликовано: 19 мая 2025
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость функций verify() и decrypt() npm библиотеки OpenPGP связана с ошибками проверки криптографической подписи. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить действительную подпись сообщения и раскрыть защищаемую информацию

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

OpenPGP

Версия ПО

до 5.11.3 (OpenPGP)
до 6.1.1 (OpenPGP)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 7,5)
Высокий уровень опасности (оценка CVSS 4.0 составляет 8,7)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://github.com/openpgpjs/openpgpjs/security/advisories/GHSA-8qff-qr5q-5pr8
https://github.com/openpgpjs/openpgpjs/commit/43f5f4e2bd67d0514d06acc60b6ee571a049c229
https://github.com/openpgpjs/openpgpjs/commit/bd54e8535ca29b3bef58a8c02296892e408be356
https://github.com/openpgpjs/openpgpjs/releases/tag/v5.11.3
https://github.com/openpgpjs/openpgpjs/releases/tag/v6.1.1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 7%
0.00027
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2025-47934

nvd
9 месяцев назад

OpenPGP.js is a JavaScript implementation of the OpenPGP protocol. Startinf in version 5.0.1 and prior to versions 5.11.3 and 6.1.1, a maliciously modified message can be passed to either `openpgp.verify` or `openpgp.decrypt`, causing these functions to return a valid signature verification result while returning data that was not actually signed. This flaw allows signature verifications of inline (non-detached) signed messages (using `openpgp.verify`) and signed-and-encrypted messages (using `openpgp.decrypt` with `verificationKeys`) to be spoofed, since both functions return extracted data that may not match the data that was originally signed. Detached signature verifications are not affected, as no signed data is returned in that case. In order to spoof a message, the attacker needs a single valid message signature (inline or detached) as well as the plaintext data that was legitimately signed, and can then construct an inline-signed message or signed-and-encrypted message with any

debian логотип

CVE-2025-47934

debian
9 месяцев назад

OpenPGP.js is a JavaScript implementation of the OpenPGP protocol. Sta ...

github логотип

GHSA-8qff-qr5q-5pr8

github
9 месяцев назад

OpenPGP.js's message signature verification can be spoofed

EPSS

Процентиль: 7%
0.00027
Низкий

7.5 High

CVSS3

7.8 High

CVSS2