CVE-2026-48815 in sigstore-jsinfo

Zusammenfassung

von VulDB • 15.07.2026

sigstore-js stellt JavaScript-Bibliotheken für die Interaktion mit Sigstore-Diensten bereit. Vor Version 4.1.1 wird die dokumentierte Option certificateOIDs in sigstore.verify() von der öffentlichen API akzeptiert, jedoch vor der Überprüfung verworfen; daher werden erforderliche Zertifikat-Erweiterungs-OIDs niemals geprüft und Anwendungen, die sich auf certificateOIDs verlassen, um einzuschränken, welche Zertifikate Artefakte signieren dürfen, können unbefugte Zertifikate akzeptieren. Dieses Problem wurde in Version 4.1.1 behoben.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Zuständig

GitHub M

Reservieren

22.05.2026

Veröffentlichung

15.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379044

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Do you know our Splunk app?

Download it now for free!