CVE-2026-44309 in gitsign
요약
\~에 의해 VulDB • 2026. 05. 27.
Gitsign은 GitHub/OIDC 신원을 사용하여 Git 커밋에 서명하는 키 없는 Sigstore 서명 도구입니다. 0.16.0 이전 버전에서는 gitsign verify 및 gitsign verify-tag가 서명을 확인하기 전에 go-git의 EncodeWithoutSignature를 통해 커밋/태그 객체를 다시 인코딩했으며, 원시 Git 객체 바이트에 대해 직접 검증하지 않았습니다. 중복된 트리 헤더가 있는 잘못된 객체의 경우, git-core와 go-git은 서로 다른 트리를 파싱합니다: git-core는 첫 번째 트리를 사용하고, go-git은 두 번째 트리를 사용합니다. go-git 정규화 형태(두 번째 트리)에 대해 서명된 서명은 gitsign verify를 통과하지만, git-core는 커밋을 완전히 다른 트리로 해석합니다. 이로 인해 검증된 서명, git-core가 사용자에게 제공하는 커밋 의미론, 그리고 Rekor에 기록된 객체 해시가 모두 동일한 콘텐츠를 참조한다는 불변식이 깨집니다. 이 취약점은 0.16.0에서 수정되었습니다.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.