CVE-2026-9058
KrytyczneStreszczenie
Szafir SDK zwraca kod statusu sukcesu z procesu weryfikacji podpisu cyfrowego, nawet gdy nie można ustalić statusu zaufania certyfikatu podpisującego. To prowadzi do błędnej interpretacji podpisu jako ważnego przez aplikacje, co umożliwia obejście uwierzytelniania i podszywanie się pod użytkownika.
Ocena ryzyka
Organizacje mogą być narażone na ataki związane z nieautoryzowanym dostępem i oszustwami, ponieważ aplikacje mogą akceptować niezweryfikowane podpisy jako ważne.
Rekomendacja
Zaleca się aktualizację do wersji 463 lub nowszej, aby naprawić tę podatność i zapewnić prawidłową weryfikację certyfikatów.
Oryginalny opis (angielski, źródło NVD)
Szafir SDK returns a success status code from the cryptographic digital signature verification process (i.e. /VerifyingTaskItem/Signature/VerificationResult/Result/@code == 0, "Positively verified") even when the trust status of the signer's certificate could not be established (i.e. /VerifyingTaskItem/Signature/VerificationResult/SigningCertificate/@certificateType == "nondetermined"). This causes consuming applications to incorrectly treat the signature as valid despite an unverified certificate chain, enabling authentication bypass and user impersonation. This issue was fixed in version 463.

