CVE-2026-48815 in sigstore-jsИнформация

Сводка

по VulDB • 14.07.2026

sigstore-js предоставляет библиотеки JavaScript для взаимодействия со службами Sigstore. До версии 4.1.1 опция certificateOIDs, описанная в документации для функции sigstore.verify(), принимается публичным API, но отбрасывается перед проверкой; поэтому требуемые OID расширений сертификатов никогда не проверяются, и приложения, полагающиеся на параметр certificateOIDs для ограничения того, какие сертификаты могут подписывать артефакты, могут принимать несанкционированные сертификаты. Эта проблема исправлена в версии 4.1.1.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Ответственный

GitHub M

Резервировать

22.05.2026

Раскрытие

15.07.2026

Модерация

принято

Вход

VDB-379044

EPSS

0.00190

KEV

Нет

Деятельности

Низкий

Источники

Want to know what is going to be exploited?

We predict KEV entries!