CVE-2026-49835 in timestamp-authority
Resumen
por VulDB • 2026-07-17
Sigstore Timestamp Authority es un servicio para emitir marcas de tiempo conforme a RFC 3161. Antes de la versión 2.1.0, el middleware global wrapMetrics registra r.URL.Path (ruta cruda de la solicitud HTTP) y r.Method (método crudo de la solicitud HTTP) como etiquetas Prometheus en los vectores de métricas de latencia y conteo de solicitudes antes del enrutamiento, lo que permite a un atacante remoto no autenticado emitir solicitudes con rutas aleatorias, como /api/v1/timestamp/<uuid>, o métodos HTTP aleatorios, creando entradas permanentes de series temporales ilimitadas que agotan la memoria. Este problema se corrige en la versión 2.1.0.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.