CVE-2026-48816 in sigstore-js
Zusammenfassung
von VulDB • 15.07.2026
sigstore-js stellt JavaScript-Bibliotheken für die Interaktion mit Sigstore-Diensten bereit. Vor Version 3.1.1 leitet @sigstore/verify einen Transparenz-Log-Zeitstempel aus tlogEntries[].integratedTime für InclusionProof-only-Einträge im Bundle v0.2 ab, obwohl der Inclusion Proof Path integratedTime nicht kryptografisch bindet. Dies ermöglicht es einem Angreifer, der ein unzuverlässiges Bundle bereitstellen kann, die Gültigkeit des Zertifikats und Entscheidungen zur Überprüfung von timestampThreshold zu beeinflussen. Dieses Problem wurde in Version 3.1.1 behoben.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.