Pasquale "sid" Fiorillo discovered a critical vulnerability in GoSign Desktop <= 2.4.0 that allows an attacker to execute arbitrary code on the system through insecure updates and a TLS bypass. The exploit leverages the deactivation of TLS certificate verification when a proxy is configured, together with an update mechanism based on unsigned manifests.
Pasquale "sid" Fiorillo ha scoperto una vulnerabilità critica in GoSign Desktop <= 2.4.0 che consente a un attaccante di eseguire codice arbitrario sul sistema tramite aggiornamenti insicuri e bypass TLS. L'exploit sfrutta la disattivazione della verifica dei certificati TLS quando è configurato un proxy, insieme a un meccanismo di aggiornamento basato su manifest non firmati.