Дар китобхонаи OpenPGP.js осебпазирӣ (CVE-2025-47934) муайян карда шудааст, ки ба ҳамлакунанда имкон медиҳад паёми тағирёфтаеро фиристад, ки онро қабулкунанда ҳамчун тасдиқшуда қабул мекунад (функсияҳои openpgp.verify ва openpgp.decrypt нишонаи тасдиқи бомуваффақияти имзои рақамиро, сарфи назар аз он, ки мундариҷаи он иваз карда шудааст, бармегардонад. имзо таъсис дода шуд). Осебият дар версияҳои OpenPGP.js 5.11.3 ва 6.1.1 ислоҳ карда шуд. Масъала танҳо ба шохаҳои OpenPGP.js 5.x ва 6.x таъсир мерасонад ва ба OpenPGP.js 4.x таъсир намерасонад.
Китобхонаи OpenPGP.js татбиқи мустақили JavaScript-и протоколи OpenPGP-ро таъмин мекунад, ки ба шумо имкон медиҳад, ки амалиёти рамзгузориро иҷро кунед ва дар браузер бо имзоҳои рақамии ба калиди оммавӣ асосёфта кор кунед. Лоиҳа аз ҷониби таҳиягарони Proton Mail таҳия карда мешавад ва ба ғайр аз ташкили рамзгузории охири паёмҳо дар Proton Mail, дар чунин лоиҳаҳо ба монанди FlowCrypt, Mymail-Crypt, UDC, Encrypt.to, PGP Anywhere ва Passbolt истифода мешавад.
Осебӣ ба расмиёти санҷиши имзоҳои матнии дарунсохт (openpgp.verify) ва паёмҳои имзошуда ва рамзгузоришуда (penpgp.decrypt) таъсир мерасонад. Ҳамлагар метавонад паёмҳои мавҷудаи имзошударо барои эҷоди паёмҳои нав истифода барад, ки ҳангоми кушодани версияи осебпазири OpenPGP.js мундариҷаи ивазшударо, ки аз мундариҷаи паёми имзошудаи аслӣ фарқ мекунад, истихроҷ мекунад. Ин осебпазирӣ ба имзоҳое, ки аз матн ҷудо карда шудаанд, таъсир намерасонад (мушкилот танҳо вақте пайдо мешавад, ки имзо якҷоя бо матн ҳамчун блоки ягонаи додаҳо интиқол дода мешавад).
Барои эҷод кардани паёми қалбакӣ, ҳамлагар бояд танҳо як паём бо имзои дарунсохт ё алоҳида дошта бошад ва инчунин маълумоти аслии дар ин паём имзошударо донад. Ҳамлагар метавонад паёмро тағир диҳад, то версияи тағирёфтаи имзо ҳанӯз дуруст ҳисобида шавад. Ба ҳамин монанд, паёмҳои рамзгузоришуда бо имзо метавонанд тағир дода шаванд, то ҳангоми кушодан маълумоте, ки ҳамлагар илова кардааст, баргардонида шавад.
Манбаъ: opennet.ru
