OpenPGP.js存在高風險漏洞，攻擊者有機會繞過訊息簽章驗證機制

資安業者Codean Labs發現JavaScript加密程式庫OpenPGP.js存在高風險漏洞CVE-2025-47934，涉及數位簽章的偽造，一旦攻擊者利用，就有機會偽造簽章，而且還看起來像是經由合法單位簽署的內容。此漏洞影響5.0.1至5.11.2版、6.0.0-alpha.0至6.1.0版OpenPGP.js，此外，該漏洞也可能影響以OpenPGP.js為基礎打造的應用程式，其中一個是網頁郵件加密的瀏覽器擴充套件Mailvelope，但Proton Mail不受影響。對此，開發團隊獲報後於5月19日發布5.11.3、6.1.1版OpenPGP.js修補上述漏洞，Mailvelope也推出6.0.1版因應。

OpenPGP.js是以JavaScript撰寫而成的加密程式庫，可在瀏覽器和Node.js環境使用，提供全程加密（E2EE）、數位簽章、身分驗證的功能。由於這個程式庫在瀏覽器、即時通訊、電子郵件運用相當普遍，因此上述資安漏洞帶來的影響，有可能會相當廣泛。

這項弱點形成的原因，在於OpenPGP.js處理及驗證訊息簽章的方式，導致攻擊者有機會利用，將有問題的資料加入正常簽章內容，CVSS風險值為8.7分。攻擊者可利用竄改的訊息，通過OpenPGP.js的驗證功能openpgp.verify或openpgp.decrypt，並回傳簽章有效的結果，但實際上，攻擊者並未實際進行簽署。