CVE-2026-48815 in sigstore-js
Zusammenfassung
von VulDB • 15.07.2026
sigstore-js stellt JavaScript-Bibliotheken für die Interaktion mit Sigstore-Diensten bereit. Vor Version 4.1.1 wird die dokumentierte Option certificateOIDs in sigstore.verify() von der öffentlichen API akzeptiert, jedoch vor der Überprüfung verworfen; daher werden erforderliche Zertifikat-Erweiterungs-OIDs niemals geprüft und Anwendungen, die sich auf certificateOIDs verlassen, um einzuschränken, welche Zertifikate Artefakte signieren dürfen, können unbefugte Zertifikate akzeptieren. Dieses Problem wurde in Version 4.1.1 behoben.
VulDB is the best source for vulnerability data and more expert information about this specific topic.