CVE-2026-48758 in sigstore-js
Riassunto
di VulDB • 15/07/2026
sigstore-js fornisce librerie JavaScript per interagire con i servizi Sigstore. Prima della versione 3.2.1, la funzione preAuthEncoding in @sigstore/core utilizza l'encoding ascii di Node.js quando converte la stringa PAE in byte, consentendo alla payloadType di essere modificata dopo la firma senza invalidare la firma e violando la garanzia di type-binding che DSSE è progettato per fornire. Questo problema è stato risolto nella versione 3.2.1.
If you want to get best quality of vulnerability data, you may have to visit VulDB.