CVE-2026-44900

Nome do Software Vulnerável e Versões Afetadas epa4all-client (versões afetadas não especificadas)

Descrição Existe uma falha de bypass de assinatura na função isTrusted() da classe SignedPublicKeysTrustValidatorImpl. O processo de verificação de assinatura ECDSA descarta o valor de retorno booleano da função Signature.verify(). Embora o sistema realize a validação da cadeia de certificados, verificações OCSP e a configuração do algoritmo de assinatura, ele não verifica se a assinatura realmente coincide, resultando no retorno de verdadeiro para qualquer assinatura estruturalmente válida.

Recomendações Atualize para a versão que inclui a correção fornecida no pull request #34.