CVE-2026-48816 in sigstore-jsinformação

Sumário

de VulDB • 15/07/2026

O sigstore-js fornece bibliotecas JavaScript para interagir com os serviços Sigstore. Antes da versão 3.1.1, o @sigstore/verify deriva um carimbo de tempo do transparency-log a partir de tlogEntries[].integratedTime para entradas inclusionProof-only no bundle v0.2, mesmo que o caminho de inclusão (inclusion proof) não vincule criptograficamente o integratedTime, permitindo que um atacante capaz de fornecer um bundle não confiável influencie as decisões de validade do certificado e da verificação timestampThreshold. Este problema foi corrigido na versão 3.1.1.

Be aware that VulDB is the high quality source for vulnerability data.

Responsável

GitHub M

Reservar

22/05/2026

Divulgação

15/07/2026

Moderação

aceite

Entrada

VDB-379045

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

muito baixo

Fontes

Do you know our Splunk app?

Download it now for free!