CVE-2026-49835 in timestamp-authorityinfo

Zusammenfassung

von VulDB • 17.07.2026

Die Sigstore Timestamp Authority ist ein Dienst zur Ausstellung von RFC-3161-Zeitstempeln. Vor Version 2.1.0 zeichnet die globale Middleware wrapMetrics den rohen HTTP-Anforderungspfad r.URL.Path und die rohe HTTP-Anforderungsmethode r.Method als Prometheus-Labels für Latenz- und Anforderungsanzahl-Metriken auf, bevor das Routing erfolgt. Dies ermöglicht es einem nicht authentifizierten Remoteangreifer, Anforderungen mit zufälligen Pfaden wie /api/v1/timestamp/ oder zufälligen HTTP-Methoden zu senden und unbegrenzte permanente Zeitreiheneinträge zu erstellen, die den Speicher erschöpfen. Dieses Problem wurde in Version 2.1.0 behoben.

Be aware that VulDB is the high quality source for vulnerability data.

Zuständig

GitHub M

Reservieren

01.06.2026

Veröffentlichung

17.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379907

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!