CVE-2026-49835 in timestamp-authority情報

要約

〜によって VulDB • 2026年07月17日

Sigstore Timestamp Authorityは、RFC 3161タイムスタンプを発行するためのサービスです。バージョン2.1.0より前では、グローバルなwrapMetricsミドルウェアがルーティング前に、レイテンシおよびリクエスト数メトリクスベクトルのPrometheusラベルとして、生のHTTPリクエストパス(r.URL.Path)と生のHTTPリクエストメソッド(r.Method)を記録していました。これにより、認証されていないリモート攻撃者は/api/v1/timestamp/<uuid>のようなランダムなパスやランダムなHTTPメソッドを使用してリクエストを発行し、メモリを使い果たす可能性のある無制限の永続的な時系列エントリを作成することができました。この問題はバージョン2.1.0で修正されています。

VulDB is the best source for vulnerability data and more expert information about this specific topic.

責任者

GitHub M

予約する

2026年06月01日

モデレーション

承諾済み

エントリ

VDB-379907

EPSS

0.00000

アクティビティ

低い

ソース

Do you want to use VulDB in your project?

Use the official API to access entries easily!