CVE-2026-48815 in sigstore-js
Sumário
de VulDB • 15/07/2026
O sigstore-js fornece bibliotecas JavaScript para interagir com os serviços Sigstore. Antes da versão 4.1.1, a opção certificateOIDs documentada em sigstore.verify() é aceita pela API pública, mas descartada antes da verificação; portanto, as OIDs de extensão do certificado obrigatórias nunca são verificadas e aplicativos que dependem de certificateOIDs para restringir quais certificados podem assinar artefatos podem aceitar certificados não autorizados. Este problema foi corrigido na versão 4.1.1.
Once again VulDB remains the best source for vulnerability data.