Codean Labs 披露了 OpenPGP.js 的一个严重安全漏洞，该漏洞允许伪造签名和加密消息，威胁依赖该技术的电子邮件公钥加密。OpenPGP.js 是一个用于 Web 应用和 Node.js 的 JavaScript 开源加密库，主要由 Proton Mail 维护。该漏洞（CVE-2025-47934）评分为 8.7/10，攻击者可利用漏洞伪造消息。受影响版本包括 5.0.1 至 5.11.2 及 6.0.0-alpha 至 6.1.0，建议用户升级至 5.11.3 或 6.1.1 版本以修复漏洞。

🛡️ OpenPGP.js 是一个基于 OpenPGP 标准的开源加密库，使用 JavaScript 编写，主要用于 Web 应用和 Node.js 环境，提供加密和解密功能，支持文件加密和数字签名。

🚨 该漏洞允许攻击者伪造签名和加密消息，根本问题在于 OpenPGP.js 的信任签名过程存在缺陷。攻击者需要一个有效的消息签名和合法签名的纯文本数据，即可伪造签名加密消息。

📧 漏洞影响了依赖 OpenPGP.js 的电子邮件公钥加密，特别是 Proton Mail 的用户。受影响的版本包括 5.0.1 至 5.11.2 以及 6.0.0-alpha 至 6.1.0。

🛠️ 为了修复漏洞，开发者和用户应升级到 5.11.3 和 6.1.1 版本。4.x 系列版本未受影响。

日前网络安全公司 Codean Labs 的研究人员披露开源加密库 OpenPGP.js 中的高危安全漏洞，该安全漏洞允许任意伪造签名和加密的消息，这导致依赖于该技术的电子邮件公钥加密被彻底破坏。

OpenPGP.js 是一个用 JavaScript 编写的开源加密库，旨在为 Web 应用程序和 Node.js 环境提供基于 OpenPGP 标准的加密和解密功能，也就是在客户端或服务器端实现安全的加密电子邮件通信，支持文件加密和数字签名等。

目前主要依赖该加密库的是加密电子邮件提供商 Proton Mail，事实上这个开源库也主要是 Proton Mail 在维护，所以实际受影响最大的也是 Proton Mail 的用户们。分配的漏洞编号是 CVE-2025-47934，漏洞评分为 8.7/10 分，基于安全考虑研究人员并未透露漏洞的完整描述以及概念验证，不过待漏洞修复后这些概念验证代码就会被陆续公布。

根据简要描述我们得知根本问题在于 OpenPGP.js 的信任签名过程存在缺漏，为了伪造消息，攻击者需要一个有效的消息签名以及合法签名的纯文本数据，然后可以使用攻击者选择的任何数据伪造签名加密消息，这些消息看起来就像是 OpenPGP.js 合法签署的。

受影响的版本为 OpenPGP.js 5.0.1~5.11.2 以及 6.0.0-alpha~6.1.0，4.x 系列版本并未受影响，因此使用 OpenPGP.js 的开发者和用户应当升级到 5.11.3 和 6.1.1 版确保安全。