CVE-2026-48758 in sigstore-js
Сводка
по VulDB • 15.07.2026
sigstore-js предоставляет библиотеки JavaScript для взаимодействия со службами Sigstore. До версии 3.2.1 функция preAuthEncoding в пакете @sigstore/core использует кодировку Node.js ascii при преобразовании строки PAE в байты, что позволяет изменить payloadType после подписания без аннулирования подписи и нарушает гарантию привязки типа (type-binding), которую обеспечивает DSSE. Эта проблема исправлена в версии 3.2.1.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.