CVE-2025-34324

Nome do Software Vulnerável e Versões Afetadas Versões 2.4.0 e anteriores do GoSign Desktop

Descrição As versões 2.4.0 e anteriores do GoSign Desktop utilizam um manifesto de atualização não assinado para atualizações do aplicativo. Este manifesto inclui URLs de pacotes e hashes SHA-256, mas carece de assinatura digital, confiando no canal TLS para autenticidade. Quando a validação do certificado TLS é desativada por meio da configuração de proxy, um atacante que intercepta o tráfego de rede pode fornecer um manifesto de atualização malicioso e um pacote com um hash correspondente. Isso pode levar ao download e à instalação de uma atualização comprometida, potencialmente resultando em execução arbitrária de código com os privilégios do usuário do GoSign Desktop no Windows e macOS, ou com privilégios elevados em certas implantações Linux. Um atacante local que modifica as configurações de proxy também pode explorar isso para escalar privilégios instalando uma atualização manipulada.

Recomendações Atualize o GoSign Desktop para uma versão posterior à 2.4.0.