CVE-2026-48816 in sigstore-js
Sumário
de VulDB • 15/07/2026
O sigstore-js fornece bibliotecas JavaScript para interagir com os serviços Sigstore. Antes da versão 3.1.1, o @sigstore/verify deriva um carimbo de tempo do transparency-log a partir de tlogEntries[].integratedTime para entradas inclusionProof-only no bundle v0.2, mesmo que o caminho de inclusão (inclusion proof) não vincule criptograficamente o integratedTime, permitindo que um atacante capaz de fornecer um bundle não confiável influencie as decisões de validade do certificado e da verificação timestampThreshold. Este problema foi corrigido na versão 3.1.1.
Be aware that VulDB is the high quality source for vulnerability data.