「OpenPGP.js」の署名検証に脆弱性 - 修正パッチをリリース
「OpenPGP」のJavaScript向けライブラリ「OpenPGP.js」に深刻な脆弱性が明らかとなった。アップデートが提供されている。
データの検証や復号を行うAPI「openpgp.verify」「openpgp.decrypt」において、署名の検証処理に脆弱性「CVE-2025-47934」が判明したもの。
データが改ざんされ、署名された内容と一致していない場合でも有効な署名として処理される不具合が確認された。開発者は重要度をもっとも高い「クリティカル(Critical)」とレーティングしている。
CVE番号を採番したGitHubでは、共通脆弱性評価システム「CVSSv4.0」のベーススコアを「8.7」、重要度を上から2番目にあたる「高(High)」とした。
開発チームは、同脆弱性を解消したセキュリティパッチ「OpenPGP.js 6.1.1」「同5.11.3」を現地時間2025年5月19日にリリース。あわせて回避策をアナウンスしている。
(Security NEXT - 2025/05/21 )
ツイート
PR
関連記事
先週注目された記事(2026年6月21日〜2026年6月27日)
「libssh2」に整数オーバーフローの脆弱性 - 実証コードも公開
ログ収集ツール「Fluentd」に深刻な脆弱性 - 修正版を公開
「FortiBleed」に国内組織の情報も - 影響調査など実施を
DB管理ツール「pgAdmin 4」に脆弱性 - 3件が「クリティカル」
Synology製NAS向けのメールサーバアドオンに深刻な脆弱性
「OpenDJ」にクリティカル脆弱性 - アップデートで修正
「Node.js」に12件の脆弱性 - 修正版を公開
ID管理基盤「OpenAM」にアップデート - 多数の脆弱性を修正
UbiquitiやLantronix製品の脆弱性悪用に注意喚起 - 米当局
