CVE-2021-32685 in tEnvoy
要約
〜によって VulDB • 2026年05月28日
tEnvoyは、TogaTech.orgによって使用される、Node.jsおよびブラウザ向けのPGP、NaCl、PBKDF2(ハッシュ化、ランダム生成、暗号化、復号化、署名、変換)を含んでいます。バージョン7.0.3より前の`tEnvoyNaClSigningKey`の`verifyWithMessage`メソッドは、署名が無効であっても、メッセージのSHA-512ハッシュと一致するSHA-512ハッシュを持つ任意の署名に対して常に`true`を返します。この問題はバージョン7.0.3で修正されています。回避策として:`tEnvoyNaClSigningKey`クラス内の`verifyWithMessage`メソッド定義にある`tenvoy.js`において、`this.verify`への戻り値呼び出しが`.verified`で終わることを確認してください。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.