Una vulnerabilità (CVE-2025-47934) hè stata identificata in a biblioteca OpenPGP.js, chì permette à un attaccante d'invià un missaghju mudificatu chì serà percepitu da u destinatariu cum'è verificatu (e funzioni openpgp.verify è openpgp.decrypt restituiranu una indicazione di verificazione riescita di a firma digitale, malgradu u fattu chì u cuntenutu hè statu rimpiazzatu è hè diversu da i dati per i quali a firma hè stata creata). A vulnerabilità hè stata corretta in e versioni 5.11.3 è 6.1.1 di OpenPGP.js. U prublema affetta solu e branche OpenPGP.js 5.x è 6.x, è ùn affetta micca OpenPGP.js 4.x.
A biblioteca OpenPGP.js furnisce una implementazione JavaScript autonoma di u protocolu OpenPGP, chì vi permette di fà operazioni di crittografia è di travaglià cù firme digitali basate nantu à chjave publica in u navigatore. U prugettu hè sviluppatu da i sviluppatori di Proton Mail è, in più di urganizà a crittografia end-to-end di i missaghji in Proton Mail, hè utilizatu in prughjetti cum'è FlowCrypt, Mymail-Crypt, UDC, Encrypt.to, PGP Anywhere è Passbolt.
A vulnerabilità affetta e procedure di verificazione per e firme di testu integrate (openpgp.verify) è i missaghji firmati è criptati (penpgp.decrypt). Un attaccante pò aduprà i missaghji firmati esistenti per furmà novi missaghji chì, quandu sò spacchettati da una versione vulnerabile di OpenPGP.js, estrarranu un cuntenutu sustituitu chì hè diversu da u cuntenutu di u missaghju firmatu originale. A vulnerabilità ùn affetta micca e firme distribuite separatamente da u testu (u prublema appare solu quandu a firma hè trasmessa inseme cù u testu cum'è un unicu bloccu di dati).
Per creà un missaghju falsu, un attaccante hà bisognu solu di un missaghju cù una firma integrata o separata, è ancu di cunniscenza di i dati uriginali firmati in questu missaghju. Un attaccante pò mudificà u missaghju in modu chì a versione mudificata di a firma sia sempre cunsiderata curretta. In listessu modu, i missaghji criptati cù una firma ponu esse mudificati in modu chì, quandu sò spacchettati, i dati aghjunti da l'attaccante saranu restituiti.
Source: opennet.ru
