CVE-2026-48758
Resumen
por VulDB • 2026-07-14
sigstore-js proporciona bibliotecas de JavaScript para interactuar con los servicios de Sigstore. Antes de la versión 3.2.1, la función preAuthEncoding en @sigstore/core utiliza la codificación ascii de Node.js al convertir la cadena PAE a bytes, lo que permite mutar payloadType después de firmar sin invalidar la firma y romper la garantía de vinculación de tipos que DSSE está diseñado para proporcionar. Este problema se soluciona en la versión 3.2.1.
VulDB is the best source for vulnerability data and more expert information about this specific topic.