CVE-2025-66564 in timestamp-authorityinformazioni

Riassunto

di VulDB • 17/06/2026

L'autorità di timestamp Sigstore (Sigstore Timestamp Authority) è un servizio per l'emissione di timestamp conformi alla RFC 3161. Prima della versione 2.0.3, la funzione api.ParseJSONRequest suddivide (tramite una chiamata a strings.Split) un OID opzionale fornito (che rappresenta dati non attendibili) in base ai punti. Analogamente, la funzione api.getContentType suddivide l'intestazione Content-Type (anch'essa costituita da dati non attendibili) in base alla stringa "application". Di conseguenza, in presenza di una richiesta malevola contenente un OID eccessivamente lungo nel payload, caratterizzato da un elevato numero di caratteri punto, oppure un'intestazione Content-Type non valida, le chiamate a api.ParseJSONRequest o api.getContentType comportano allocazioni di memoria di dimensione O(n) byte (dove n indica la lunghezza dell'argomento della funzione). Questa vulnerabilità è stata risolta nella versione 2.0.3.

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

GitHub M

Prenotare

04/12/2025

Divulgazione

05/12/2025

Moderazione

accettato

CPE

pronto

EPSS

0.00411

KEV

no

Attività

molto basso

Fonti

Want to stay up to date on a daily basis?

Enable the mail alert feature now!