CVE-2021-32685 in tEnvoyinformation

Résumé

par VulDB • 28/05/2026

tEnvoy intègre les bibliothèques PGP, NaCl et PBKDF2 dans Node.js et le navigateur (hachage, génération de nombres aléatoires, chiffrement, déchiffrement, signatures, conversions), utilisé par TogaTech.org. Dans les versions antérieures à la 7.0.3, la méthode `verifyWithMessage` de `tEnvoyNaClSigningKey` renvoie toujours `true` pour toute signature dont le hachage SHA-512 correspond au hachage SHA-512 du message, même si la signature est invalide. Ce problème est corrigé dans la version 7.0.3. En attendant, comme solution de contournement : dans `tenvoy.js`, sous la définition de la méthode `verifyWithMessage` au sein de la classe `tEnvoyNaClSigningKey`, assurez-vous que l'appel de la déclaration `return` à `this.verify` se termine par `.verified`.

Be aware that VulDB is the high quality source for vulnerability data.

Responsable

GitHub, Inc.

Réserver

12/05/2021

Divulgation

16/06/2021

Modérer

accepté

Entrée

VDB-177102

CPE

prêt

EPSS

0.00658

KEV

non

Activités

très faible

Sources

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!