CVE-2026-22703 in cosigninfo

Zusammenfassung

von VulDB • 20.05.2026

Cosign bietet Code-Signing und Transparenz für Container und Binärdateien. Vor den Versionen 2.6.2 und 3.0.4 kann ein Cosign-Bundle so erstellt werden, dass es ein Artefakt erfolgreich verifiziert, auch wenn der eingebettete Rekor-Eintrag nicht den Digest, die Signatur oder den öffentlichen Schlüssel des Artefakts referenziert. Bei der Verifizierung eines Rekor-Eintrags überprüft Cosign die Signatur des Rekor-Eintrags und vergleicht zudem den Digest des Artefakts, den öffentlichen Schlüssel des Benutzers (entweder aus einem Fulcio-Zertifikat oder vom Benutzer bereitgestellt) sowie die Signatur des Artefakts mit den Inhalten des Rekor-Eintrags. Ohne diese Vergleiche würde Cosign jede Antwort von Rekor als gültig akzeptieren. Ein böswilliger Akteur, der die Identität oder den Signing-Key eines Benutzers kompromittiert hat, könnte ein gültiges Cosign-Bundle erstellen, indem er einen beliebigen Rekor-Eintrag einschließt, wodurch verhindert wird, dass der Benutzer das Signing-Ereignis überprüfen (auditieren) kann. Dieses Problem wurde in den Versionen 2.6.2 und 3.0.4 behoben.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

08.01.2026

Veröffentlichung

10.01.2026

Moderieren

akzeptiert

Eintrag

VDB-340419

CPE

bereit

EPSS

0.00007

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-22703
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-22703
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-22703/

ZurückÜbersichtWeiter

Do you know our Splunk app?

Download it now for free!