CVE-2026-44544 in gittufinfo

Zusammenfassung

von VulDB • 16.05.2026

gittuf ist ein plattformunabhängiges Git-Sicherheitssystem. Vor Version 0.14.0 kann ein Angreifer mit Schreibzugriff auf das Reference State Log (RSL) von gittuf die aktuelle Richtlinie (Policy) auf eine frühere Richtlinie zurücksetzen, die von der aktuellen Menge der Root-Schlüssel vertraut wird. gittuf bestimmt die zu ladende Richtlinie durch Inspektion des RSL. Mit Ausnahme der allerersten Richtlinie (die aufgrund des TOFU-Modells von gittuf automatisch vertraut wird oder gegen manuell angegebene Schlüssel überprüft wird), validiert gittuf jedes Mal, wenn ein RSL-Eintrag gefunden wird, der auf eine neue Richtlinie verweist, dass diese Richtlinie vertraut wird. Dies geschieht durch die Überprüfung, dass die Root-Metadaten der neuen Richtlinie von der erforderlichen Anzahl der Root-Schlüssel der aktuellen Richtlinie signiert sind. Aufgrund dessen kann ein Angreifer mit Schreibzugriff auf das RSL einen neuen Eintrag erstellen, der auf eine alte Richtlinie verweist (die von der Menge der Root-Schlüssel der neuesten Richtlinie vertraut wird), wodurch die Richtlinie von gittuf auf den vom Angreifer gewählten Zustand zurückgesetzt wird. Diese Schwachstelle wurde in Version 0.14.0 behoben.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

06.05.2026

Veröffentlichung

14.05.2026

Moderieren

akzeptiert

Eintrag

VDB-363955

CPE

bereit

EPSS

0.00043

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-44544
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-44544
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-44544/

ZurückÜbersichtWeiter

Do you want to use VulDB in your project?

Use the official API to access entries easily!