CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-64767

Critical
Published: Translated: NVD NIST

Summary

hpke-js to moduł Hybrydowego Szyfrowania Klucza Publicznego (HPKE) oparty na API kryptografii internetowej. Przed wersją 1.7.5, publiczna metoda Seal() w SenderContext miała warunek wyścigu, co pozwalało na wielokrotne użycie tego samego nonce AEAD dla różnych wywołań Seal().

Risk Assessment

Może to prowadzić do całkowitej utraty poufności i integralności produkowanych wiadomości, co stanowi poważne zagrożenie dla bezpieczeństwa danych organizacji.

Recommendation

Zaleca się aktualizację do wersji 1.7.5 lub nowszej, aby usunąć tę podatność i zabezpieczyć komunikację.

Original NVD description (English source)

hpke-js is a Hybrid Public Key Encryption (HPKE) module built on top of Web Cryptography API. Prior to version 1.7.5, the public SenderContext Seal() API has a race condition which allows for the same AEAD nonce to be re-used for multiple Seal() calls. This can lead to complete loss of Confidentiality and Integrity of the produced messages. This issue has been patched in version 1.7.5.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS