Katalog CVE

CVE-2026-9058

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Szafir SDK zwraca kod statusu sukcesu z procesu weryfikacji podpisu cyfrowego, nawet gdy nie można ustalić statusu zaufania certyfikatu podpisującego. To prowadzi do błędnej interpretacji podpisu jako ważnego przez aplikacje, co umożliwia obejście uwierzytelniania i podszywanie się pod użytkownika.

Ocena ryzyka

Organizacje mogą być narażone na ataki związane z nieautoryzowanym dostępem i oszustwami, ponieważ aplikacje mogą akceptować niezweryfikowane podpisy jako ważne.

Rekomendacja

Zaleca się aktualizację do wersji 463 lub nowszej, aby naprawić tę podatność i zapewnić prawidłową weryfikację certyfikatów.

Oryginalny opis (angielski, źródło NVD)

Szafir SDK returns a success status code from the cryptographic digital signature verification process (i.e. /VerifyingTaskItem/Signature/VerificationResult/Result/@code == 0, "Positively verified") even when the trust status of the signer's certificate could not be established (i.e. /VerifyingTaskItem/Signature/VerificationResult/SigningCertificate/@certificateType == "nondetermined"). This causes consuming applications to incorrectly treat the signature as valid despite an unverified certificate chain, enabling authentication bypass and user impersonation. This issue was fixed in version 463.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS