CVE-2026-48816
الملخص
بحسب VulDB • 14/07/2026
يوفر sigstore-js مكتبات جافا سكريبت للتفاعل مع خدمات Sigstore. قبل الإصدار 3.1.1، يستخرج @sigstore/verify طابعاً زمنياً لسجل الشفافية (transparency-log timestamp) من الحقل tlogEntries[].integratedTime لإدخالات إثبات الانتماء فقط (inclusionProof-only entries) في حزمة v0.2، على الرغم من أن مسار إثبات الانتماء لا يربط طابع integratedTime تشفيرياً بشكل آمن، مما يتيح لمهاجم قادر على تزويد حزمة غير موثوقة التأثير على قرارات صلاحية الشهادة والتحقق من عتبة الطابع الزمني (timestampThreshold). تم إصلاح هذه المشكلة في الإصدار 3.1.1.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.