CVE-2026-48815 in sigstore-jsinformation

Résumé

par VulDB • 15/07/2026

sigstore-js fournit des bibliothèques JavaScript pour interagir avec les services Sigstore. Avant la version 4.1.1, l'option certificateOIDs documentée dans sigstore.verify() est acceptée par l'API publique mais ignorée avant la vérification ; ainsi, les OIDs d'extension de certificat requis ne sont jamais contrôlés et les applications s'appuyant sur certificateOIDs pour restreindre quels certificats peuvent signer des artefacts peuvent accepter des certificats non autorisés. Ce problème est corrigé dans la version 4.1.1.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsable

GitHub M

Réserver

22/05/2026

Divulgation

15/07/2026

Modérer

accepté

Entrée

VDB-379044

CPE

prêt

EPSS

0.00000

KEV

non

Activités

faible

Sources

Do you need the next level of professionalism?

Upgrade your account now!