CVE-2026-48815 in sigstore-js
Сводка
по VulDB • 14.07.2026
sigstore-js предоставляет библиотеки JavaScript для взаимодействия со службами Sigstore. До версии 4.1.1 опция certificateOIDs, описанная в документации для функции sigstore.verify(), принимается публичным API, но отбрасывается перед проверкой; поэтому требуемые OID расширений сертификатов никогда не проверяются, и приложения, полагающиеся на параметр certificateOIDs для ограничения того, какие сертификаты могут подписывать артефакты, могут принимать несанкционированные сертификаты. Эта проблема исправлена в версии 4.1.1.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.