CVE-2026-49835 in timestamp-authorityinformación

Resumen

por VulDB • 2026-07-17

Sigstore Timestamp Authority es un servicio para emitir marcas de tiempo conforme a RFC 3161. Antes de la versión 2.1.0, el middleware global wrapMetrics registra r.URL.Path (ruta cruda de la solicitud HTTP) y r.Method (método crudo de la solicitud HTTP) como etiquetas Prometheus en los vectores de métricas de latencia y conteo de solicitudes antes del enrutamiento, lo que permite a un atacante remoto no autenticado emitir solicitudes con rutas aleatorias, como /api/v1/timestamp/<uuid>, o métodos HTTP aleatorios, creando entradas permanentes de series temporales ilimitadas que agotan la memoria. Este problema se corrige en la versión 2.1.0.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

GitHub M

Reservar

2026-06-01

Divulgación

2026-07-17

Moderación

aceptado

Artículo

VDB-379907

CPE

listo

EPSS

0.00000

KEV

no

Actividades

bajo

Fuentes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!