- Hay una forma de verificar mensajes falsos como si fueran legítimos
- El error afecta múltiples versiones de OpenPGP.JS
- Un parche está disponible
Una falla de seguridad en la implementación de JavaScript de OpenPGP.JS permite a los actores de amenaza verificar mensajes falsos como si fueran legítimos, esencialmente rompiendo la criptografía de clave pública. Esto es según los investigadores de seguridad Edoardo Geraci y Thomas Rinsma de Codean Labs, quienes encontraron y recientemente informaron la vulnerabilidad.
OpenPGP.JS es una biblioteca JavaScript de código abierto que permite a los desarrolladores encriptardescifrar, firmar y verificar mensajes utilizando el estándar OpenPGP. Normalmente, cuando un usuario firma un mensaje digitalmente, se asegura de que el contenido no fuera manipulado.
Pero en este caso, la vulnerabilidad permite que el actor de amenaza cambie el contenido del mensaje, al tiempo que hace que parezca que tenía una firma válida.
Aplicando el parche
En teoría, la vulnerabilidad podría usarse para la autorización de pago falso, entre otras cosas. Si una empresa usa OpenPGP.JS Para verificar las solicitudes de pago firmadas digitalmente de sus clientes, un atacante podría obtener una solicitud firmada válida, modificar los detalles del pago y enviarlo de vuelta, robando efectivamente el dinero.
Se dijo que las versiones 5.0.1 a 5.12.2 y 6.0.0-alfa.0 a 6.1.0 de OpenPGP.js eran vulnerables, y el problema se reparaba en las versiones 5.11.3 y 6.1.1. La versión 4 es segura, se agregó.
Aquellos que no pueden aplicar el parche inmediatamente deben aplicar al menos la solución. Los usuarios pueden verificar las firmas por separado en lugar de solo confiar en la verificación del sistema, o descifrar mensajes en dos pasos para asegurarse de que los datos no sean manipulados.
El error ahora se rastrea como CVE-2025-47934 y tiene un puntaje de gravedad de 8.7/10 (alto). Actualmente no hay evidencia confirmada de abuso en la naturaleza. Próximamente, según los mantenedores, una prueba de concepto (POC) y un análisis detallado de la vulnerabilidad se realizarán, dijeron los mantenedores, probablemente dar a los usuarios el tiempo suficiente para aplicar el parche.
A través de El registro
