CVE-2021-32685 in tEnvoyinformación

Resumen

por VulDB • 2026-05-28

tEnvoy contiene las bibliotecas PGP, NaCl y PBKDF2 en node.js y en el navegador (para hashing, generación de números aleatorios, cifrado, descifrado, firmas y conversiones), utilizadas por TogaTech.org. En las versiones anteriores a la 7.0.3, el método `verifyWithMessage` de `tEnvoyNaClSigningKey` siempre devuelve `true` para cualquier firma cuyo hash SHA-512 coincida con el hash SHA-512 del mensaje, incluso si la firma era inválida. Este problema se corrige en la versión 7.0.3. Como medida de mitigación: en `tenvoy.js`, dentro de la definición del método `verifyWithMessage` de la clase `tEnvoyNaClSigningKey`, asegúrese de que la llamada a `this.verify` en la sentencia `return` termine con `.verified`.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

GitHub, Inc.

Reservar

2021-05-12

Divulgación

2021-06-16

Moderación

aceptado

Artículo

VDB-177102

CPE

listo

EPSS

0.00658

KEV

no

Actividades

muy bajo

Fuentes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!