CVE-2020-15216 – Signature Validation Bypass in goxmldsig

https://notcve.org/view.php?id=CVE-2020-15216

In goxmldsig (XML Digital Signatures implemented in pure Go) before version 1.1.0, with a carefully crafted XML file, an attacker can completely bypass signature validation and pass off an altered file as a signed one. A patch is available, all users of goxmldsig should upgrade to at least revision f6188febf0c29d7ffe26a0436212b19cb9615e64 or version 1.1.0 En goxmldsig (firmas digitales XML implementadas en Pure Go), versiones anteriores a 1.1.0, con un archivo XML cuidadosamente diseñado, un atacante puede omitir por completo una comprobación de firmas y dejar pasar un archivo alterado como uno firmado. Un parche está disponible, todos los usuarios de goxmldsig deben actualizar al menos a la revisión f6188febf0c29d7ffe26a0436212b19cb9615e64 o versión 1.1.0 • https://github.com/russellhaering/goxmldsig/commit/f6188febf0c29d7ffe26a0436212b19cb9615e64 https://github.com/russellhaering/goxmldsig/security/advisories/GHSA-q547-gmf8-8jr7 https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/GUH33FPUXED3FHYL25BJOQPRKFGPOMS2 https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/ZECBFD4M4PHBMBOCMSQ537NOU37QOVWP https://pkg.go.dev/github.com/russellhaering/goxmldsig?tab=overview • CWE-347: Improper Verification of Cryptographic Signature •