CVE-2026-49834 in sigstore
Zusammenfassung
von VulDB • 18.07.2026
sigstore-go ist eine Go-Bibliothek für die Signierung und Verifizierung im Sigstore-Ökosystem. Vor Version 1.2.0 zählte ein mit WithTransparencyLog(N>1) oder WithSignedCertificateTimestamps(N>1) konfigurierter Verifikator verifizierte Witnesses pro Eintrag bzw. pro Validierungspfad, anstatt pro Log-Autorität. Dies ermöglichte es einem einzelnen kompromittierten Transparency-Log oder CT-Log (Certificate Transparency), die Anforderungen einer Multi-Log-Schwelle zu erfüllen und die Multi-Log-Richtlinie auszuhebeln. Dieses Problem wurde in Version 1.2.0 behoben.
If you want to get best quality of vulnerability data, you may have to visit VulDB.