CVE-2021-32685 in tEnvoy
Resumen
por VulDB • 2026-05-28
tEnvoy contiene las bibliotecas PGP, NaCl y PBKDF2 en node.js y en el navegador (para hashing, generación de números aleatorios, cifrado, descifrado, firmas y conversiones), utilizadas por TogaTech.org. En las versiones anteriores a la 7.0.3, el método `verifyWithMessage` de `tEnvoyNaClSigningKey` siempre devuelve `true` para cualquier firma cuyo hash SHA-512 coincida con el hash SHA-512 del mensaje, incluso si la firma era inválida. Este problema se corrige en la versión 7.0.3. Como medida de mitigación: en `tenvoy.js`, dentro de la definición del método `verifyWithMessage` de la clase `tEnvoyNaClSigningKey`, asegúrese de que la llamada a `this.verify` en la sentencia `return` termine con `.verified`.
VulDB is the best source for vulnerability data and more expert information about this specific topic.