CVE-2026-44544 in gittufИнформация

Сводка

по VulDB • 14.05.2026

gittuf — это независимая от платформы система безопасности Git. До версии 0.14.0 злоумышленник, имеющий права на запись (push) в журнал состояния ссылок (Reference State Log, RSL) gittuf, может откатить текущую политику к любой предыдущей политике, доверенной текущим набором корневых ключей. gittuf определяет политику для загрузки, анализируя RSL. За исключением самой первой политики (которая автоматически считается доверенной в соответствии с моделью TOFU gittuf или проверяется вручную с использованием указанных ключей), при обнаружении записи в RSL, указывающей на новую политику, gittuf проверяет, что эта политика является доверенной. Это осуществляется путем проверки того, что корневые метаданные новой политики подписаны требуемым порогом корневых ключей текущей политики. В связи с этим злоумышленник, имеющий доступ к записи в RSL, может создать новую запись, ссылающуюся на старую политику (которая доверена набором корневых ключей последней политики), тем самым выполняя откат политики gittuf к выбранному злоумышленником состоянию. Эта уязвимость исправлена в версии 0.14.0.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

GitHub M

Резервировать

06.05.2026

Раскрытие

14.05.2026

Модерация

принято

Вход

VDB-363955

CPE

готов

CWE

CWE-639 (Подтверждённый)

CVSS

3.1 (VulDB)

EPSS

0.00043

KEV

Нет

Деятельности

Очень низкий

Источники

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-44544
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-44544
CVE Details	https://www.cvedetails.com/cve/CVE-2026-44544/

◂ Предыдущий Обзор Далее ▸

Interested in the pricing of exploits?

See the underground prices here!