Ua ʻike ʻia kahi vulnerability (CVE-2025-47934) i loko o ka waihona OpenPGP.js, e ʻae ana i ka mea hoʻouka e hoʻouna i kahi leka i hoʻololi ʻia e ʻike ʻia e ka mea loaʻa e like me ka hōʻoia ʻia (e hoʻihoʻi nā hana openpgp.verify a openpgp.decrypt i hōʻailona o ka hōʻoia kūleʻa o ka hōʻailona kikohoʻe, ʻoiai ʻo ka mea i hoʻokumu ʻia ka ʻikepili i hoʻololi ʻia. Ua hoʻopaʻa ʻia ka nāwaliwali ma OpenPGP.js 5.11.3 a me 6.1.1 hoʻokuʻu. Pili wale ka pilikia i nā lālā OpenPGP.js 5.x a me 6.x, ʻaʻole pili i OpenPGP.js 4.x.
Hāʻawi ka waihona OpenPGP.js i ka hoʻokō JavaScript ponoʻī o ka protocol OpenPGP, e ʻae iā ʻoe e hana i nā hana hoʻopunipuni a hana pū me nā pūlima kikohoʻe e pili ana i ka lehulehu ma ka polokalamu kele pūnaewele. Ke kūkulu ʻia nei ka papahana e nā mea hoʻomohala Proton Mail a, ma waho aʻe o ka hoʻonohonoho ʻana i ka hoʻopili ʻana i nā memo ma Proton Mail, hoʻohana ʻia i nā papahana e like me FlowCrypt, Mymail-Crypt, UDC, Encrypt.to, PGP Anywhere a me Passbolt.
Hoʻopilikia ka nāwaliwali i nā kaʻina hana hōʻoia no nā pūlima kikokikona i hoʻokomo ʻia (openpgp.verify) a me nā memo i hoʻopaʻa ʻia a hoʻopili ʻia (penpgp.decrypt). Hiki i ka mea hoʻouka ke hoʻohana i nā memo i hoʻopaʻa inoa ʻia e hana i nā memo hou i ka wā e wehe ʻia ai e kahi mana palupalu o OpenPGP.js, e unuhi i nā ʻike i hoʻololi ʻia i ʻokoʻa mai ka ʻike o ka memo i kau inoa ʻia. ʻAʻole pili ka haʻahaʻa i nā pūlima i hoʻokaʻawale ʻia mai ka kikokikona (ʻike wale ʻia ka pilikia ke hoʻouna ʻia ka pūlima me ka kikokikona ma ke ʻano he poloka ʻikepili hoʻokahi).
No ka hana ʻana i kahi leka hoʻopunipuni, pono e loaʻa i ka mea hoʻouka i hoʻokahi memo me kahi pūlima i hoʻopili ʻia a ʻokoʻa paha, a me ka ʻike o ka ʻikepili kumu i kau inoa ʻia ma kēia leka. Hiki i ka mea hoʻouka ke hoʻololi i ka memo i mea e manaʻo ʻia ai ka mana i hoʻololi ʻia o ka pūlima. Pēlā nō, hiki ke hoʻololi ʻia nā memo i hoʻopili ʻia me kahi pūlima a i ka wā e wehe ʻia ai, e hoʻihoʻi ʻia ka ʻikepili i hoʻohui ʻia e ka mea hoʻouka.
Source: opennet.ru
