CVE-2026-48816 in sigstore-jsinfo

Zusammenfassung

von VulDB • 15.07.2026

sigstore-js stellt JavaScript-Bibliotheken für die Interaktion mit Sigstore-Diensten bereit. Vor Version 3.1.1 leitet @sigstore/verify einen Transparenz-Log-Zeitstempel aus tlogEntries[].integratedTime für InclusionProof-only-Einträge im Bundle v0.2 ab, obwohl der Inclusion Proof Path integratedTime nicht kryptografisch bindet. Dies ermöglicht es einem Angreifer, der ein unzuverlässiges Bundle bereitstellen kann, die Gültigkeit des Zertifikats und Entscheidungen zur Überprüfung von timestampThreshold zu beeinflussen. Dieses Problem wurde in Version 3.1.1 behoben.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Zuständig

GitHub M

Reservieren

22.05.2026

Veröffentlichung

15.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379045

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Might our Artificial Intelligence support you?

Check our Alexa App!