TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

トップ > アプリ: OpenPGP.js > Critical OpenPGP.js Vulnerability Allows Spoofing

Critical OpenPGP.js Vulnerability Allows Spoofing

アプリ: OpenPGP.js ベンダー: OpenPGP

【訳】

OpenPGP.jsの重大な脆弱性が偽装を可能に


【脆弱性内容】

公開日
登録日
CVE番号
NVD
ベンダー
CVSS v3
CWE
脆弱性
KEV
備考
2025/05/19 2025/05/14 CVE-2025-47934 NVD OpenPGP
8.7(GitHub,v4)
 CWE-347 デジタル署名の不適切な検証 -


【要約】

OpenPGP.jsに存在するCVE-2025-47934の脆弱性により、攻撃者は署名検証を偽装し、未署名のデータを有効な署名済みとして処理させることが可能です。影響はバージョン5および6に及び、FlowCryptなど多くのプロジェクトに影響します。開発者はバージョン5.11.3および6.1.1で修正を提供しており、回避策も提示されています。この問題は、信頼性の高いメッセージ認証に深刻なリスクをもたらします。


【ニュース】

◆Critical OpenPGP.js Vulnerability Allows Spoofing (Security Week, 2025/05/21)
[OpenPGP.jsの重大な脆弱性が偽装を可能に]

An OpenPGP.js vulnerability tracked as CVE-2025-47934 allows message signature verification to be spoofed.
[OpenPGP.jsの脆弱性(CVE-2025-47934)により、メッセージの署名検証が偽装される可能性があります]

https://www.securityweek.com/critical-openpgp-js-vulnerability-allows-spoofing/

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022