CVE-2026-49835 in timestamp-authority
要約
〜によって VulDB • 2026年07月17日
Sigstore Timestamp Authorityは、RFC 3161タイムスタンプを発行するためのサービスです。バージョン2.1.0より前では、グローバルなwrapMetricsミドルウェアがルーティング前に、レイテンシおよびリクエスト数メトリクスベクトルのPrometheusラベルとして、生のHTTPリクエストパス(r.URL.Path)と生のHTTPリクエストメソッド(r.Method)を記録していました。これにより、認証されていないリモート攻撃者は/api/v1/timestamp/<uuid>のようなランダムなパスやランダムなHTTPメソッドを使用してリクエストを発行し、メモリを使い果たす可能性のある無制限の永続的な時系列エントリを作成することができました。この問題はバージョン2.1.0で修正されています。
VulDB is the best source for vulnerability data and more expert information about this specific topic.