资安业者Codean Labs发现JavaScript加密程序库OpenPGP.js存在高风险漏洞CVE-2025-47934，涉及数位签章的伪造，一旦攻击者利用，就有机会伪造签章，而且还看起来像是经由合法单位签署的内容。此漏洞影响5.0.1至5.11.2版、6.0.0-alpha.0至6.1.0版OpenPGP.js，此外，该漏洞也可能影响以OpenPGP.js为基础打造的应用程序，其中一个是网页邮件加密的浏览器扩充套件Mailvelope，但Proton Mail不受影响。对此，开发团队获报后于5月19日发布5.11.3、6.1.1版OpenPGP.js修补上述漏洞，Mailvelope也推出6.0.1版因应。

OpenPGP.js是以JavaScript撰写而成的加密程序库，可在浏览器和Node.js环境使用，提供全程加密（E2EE）、数位签章、身分验证的功能。由于这个程序库在浏览器、即时通讯、电子邮件运用相当普遍，因此上述资安漏洞带来的影响，有可能会相当广泛。

这项弱点形成的原因，在于OpenPGP.js处理及验证讯息签章的方式，导致攻击者有机会利用，将有问题的资料加入正常签章内容，CVSS风险值为8.7分。攻击者可利用窜改的讯息，通过OpenPGP.js的验证功能openpgp.verify或openpgp.decrypt，并回传签章有效的结果，但实际上，攻击者并未实际进行签署。