Vulnerabilidad crítica en OpenPGP.js permite la suplantación de firmas
2025-06-10
Codean Labs descubrió una vulnerabilidad crítica (CVE-2025-47934) en la biblioteca OpenPGP.js que permite a los atacantes suplantar firmas arbitrarias. Al aprovechar una firma válida y adjuntar un paquete de datos malicioso, los atacantes pueden engañar a los verificadores de OpenPGP.js para que acepten los datos maliciosos como firmados, falsificando firmas de manera efectiva. Esta vulnerabilidad afecta a varios clientes de correo electrónico basados en la web, lo que representa un riesgo crítico. Las versiones 5.11.3 y 6.1.1 corrigen esta vulnerabilidad; se recomiendan actualizaciones inmediatas.
Desarrollo
suplantación de firma