PT-2025-53629 · Gnupg+2 · Gnupg+2
Mikko Hyppönen
·
Publicado
2025-12-27
·
Atualizado
2026-05-27
·
CVE-2025-68972
CVSS v3.1
5.9
Média
| Vetor | AV:L/AC:H/PR:N/UI:N/S:C/C:N/I:H/A:N |
Nome do Software Vulnerável e Versões Afetadas
Versões do GnuPG até 2.4.8
Descrição
O software está suscetível a um bypass na verificação de assinatura. Se uma mensagem assinada incluir o caractere 'f' no final de uma linha de texto simples, um atacante pode modificar a mensagem para adicionar texto após o conteúdo assinado. Apesar dessa modificação, a verificação da assinatura pode ser bem-sucedida, embora uma mensagem de "armadura inválida" possa ser exibida durante o processo de verificação. Este problema está relacionado ao uso de 'f' como um marcador para indicar o truncamento de linhas longas de texto simples.
Recomendações
Atualize o GnuPG para uma versão superior a 2.4.8.
Exploit
Correção
DoS
Improper Verification of Cryptographic Signature
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Debian
Gnupg
Red Os