Di pirtûkxaneya OpenPGP.js de lawaziyek (CVE-2025-47934) hatiye tespîtkirin, ku rê dide êrîşkar peyamek guhertî bişîne ku dê ji hêla wergir ve wekî verastkirî were dîtin (fonksiyonên openpgp.verify û openpgp.decrypt dê nîşanek verastkirina serketî ya îmzeya dîjîtal vegerînin, tevî vê rastiyê ku naverok hatiye guheztin û ji daneyên ku îmze ji bo wan hatiye çêkirin cûda ye). Ev lawazî di guhertoyên OpenPGP.js 5.11.3 û 6.1.1 de hat rastkirin. Ev pirsgirêk tenê bandorê li şaxên OpenPGP.js 5.x û 6.x dike, û bandorê li OpenPGP.js 4.x nake.
Pirtûkxaneya OpenPGP.js pêkanînek JavaScript-a xweser a protokola OpenPGP-ê peyda dike, ku dihêle hûn operasyonên şîfrekirinê bikin û bi îmzeyên dîjîtal ên li ser bingeha mifteya giştî di gerokê de bixebitin. Proje ji hêla pêşdebirên Proton Mail ve tê pêşve xistin û, ji bilî organîzekirina şîfrekirina peyamên ji serî heta binî di Proton Mail de, di projeyên wekî FlowCrypt, Mymail-Crypt, UDC, Encrypt.to, PGP Anywhere û Passbolt de tê bikar anîn.
Ev lawazî bandorê li prosedurên verastkirinê yên ji bo îmzeyên nivîsê yên çandî (openpgp.verify) û peyamên îmzekirî û şîfrekirî (penpgp.decrypt) dike. Êrîşkarek dikare peyamên îmzekirî yên heyî bikar bîne da ku peyamên nû çêbike, dema ku ji hêla guhertoyek xeternak a OpenPGP.js ve werin vekirin, dê naveroka cîgir derxînin ku ji naveroka peyama îmzekirî ya orîjînal cuda ye. Ev lawazî bandorê li îmzeyên ku ji nivîsê cuda têne belavkirin nake (pirsgirêk tenê dema ku îmze bi nivîsê re wekî blokek daneya yekane tê şandin xuya dike).
Ji bo afirandina peyameke sexte, êrîşkar tenê pêdivî bi peyameke bi îmzeyeke hundirîn an cuda heye, û her weha zanîna daneyên orîjînal ên di vê peyamê de îmzekirî hebe. Êrîşkarek dikare peyamê biguherîne da ku îmze hîn jî ji bo guhertoya guhertî rast were hesibandin. Bi heman awayî, peyamên şîfrekirî yên bi îmzeyekê dikarin werin guhertin da ku dema ku werin vekirin, daneyên ku ji hêla êrîşkar ve hatine zêdekirin werin vegerandin.
Source: opennet.ru
