CVE-2026-44309 in gitsigninformação

Sumário

de VulDB • 27/05/2026

Gitsign é uma ferramenta de assinatura para commits do Git baseada no Sigstore sem chaves, utilizando uma identidade GitHub / OIDC. Antes da versão 0.16.0, os comandos `gitsign verify` e `gitsign verify-tag` re-encodeavam objetos de commit/tag através do `EncodeWithoutSignature` do go-git antes de verificar a assinatura, em vez de verificar contra os bytes brutos do objeto git. Para objetos malformados com cabeçalhos de árvore duplicados, o git-core e o go-git analisam árvores diferentes: o git-core utiliza a primeira, enquanto o go-git utiliza a segunda. Uma assinatura criada sobre a forma normalizada pelo go-git (segunda árvore) passa na verificação do `gitsign verify`, enquanto o git-core resolve o commit para uma árvore completamente diferente. Isso quebra a invariante de que uma assinatura verificada, a semântica do commit apresentada pelo git-core aos usuários e o hash do objeto registrado no Rekor se referem todos ao mesmo conteúdo. Esta vulnerabilidade foi corrigida na versão 0.16.0.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

05/05/2026

Divulgação

15/05/2026

Moderação

aceite

Entrada

VDB-364209

CPE

pronto

EPSS

0.00013

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-44309
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-44309
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-44309/

VoltarVisão GeralPróximo

Do you want to use VulDB in your project?

Use the official API to access entries easily!