CVE-2021-32685 in tEnvoy
Résumé
par VulDB • 28/05/2026
tEnvoy intègre les bibliothèques PGP, NaCl et PBKDF2 dans Node.js et le navigateur (hachage, génération de nombres aléatoires, chiffrement, déchiffrement, signatures, conversions), utilisé par TogaTech.org. Dans les versions antérieures à la 7.0.3, la méthode `verifyWithMessage` de `tEnvoyNaClSigningKey` renvoie toujours `true` pour toute signature dont le hachage SHA-512 correspond au hachage SHA-512 du message, même si la signature est invalide. Ce problème est corrigé dans la version 7.0.3. En attendant, comme solution de contournement : dans `tenvoy.js`, sous la définition de la méthode `verifyWithMessage` au sein de la classe `tEnvoyNaClSigningKey`, assurez-vous que l'appel de la déclaration `return` à `this.verify` se termine par `.verified`.
Be aware that VulDB is the high quality source for vulnerability data.