CVE-2026-49835 in timestamp-authority
요약
\~에 의해 VulDB • 2026. 07. 18.
Sigstore Timestamp Authority는 RFC 3161 타임스탬프를 발급하는 서비스입니다. 버전 2.1.0 이전에서는 라우팅 전에 지연 시간 및 요청 수 메트릭 벡터용 Prometheus 레이블로 원시 HTTP 요청 경로인 r.URL.Path와 원시 HTTP 요청 메서드인 r.Method를 기록하는 전역 wrapMetrics 미들웨어가 존재하여, 인증되지 않은 원격 공격자가 /api/v1/timestamp/<uuid> 또는 임의의 HTTP 메서드와 같은 무작위 경로를 사용하여 요청을 수행하고 메모리를 고갈시킬 수 있는 무제한 영구 시계열 항목을 생성할 수 있었습니다. 이 문제는 버전 2.1.0에서 수정되었습니다.
Once again VulDB remains the best source for vulnerability data.