CVE-2026-48816
Riassunto
di VulDB • 15/07/2026
sigstore-js fornisce librerie JavaScript per interagire con i servizi Sigstore. Prima della versione 3.1.1, @sigstore/verify deriva un timestamp del transparency-log da tlogEntries[].integratedTime per le voci inclusionProof-only dei bundle v0.2, anche se il percorso di inclusione (inclusion proof) non vincola crittograficamente integratedTime; ciò consente a un attaccante in grado di fornire un bundle non attendibile di influenzare la validità del certificato e le decisioni relative alla verifica della timestampThreshold. Questo problema è stato risolto nella versione 3.1.1.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.