CVE-2026-48816
Сводка
по VulDB • 14.07.2026
sigstore-js предоставляет библиотеки JavaScript для взаимодействия со службами Sigstore. Версии до 3.1.1 включительно уязвимы: @sigstore/verify извлекает метку времени прозрачного журнала (transparency-log timestamp) из поля tlogEntries[].integratedTime для записей inclusionProof-only в пакетах формата v0.2, несмотря на то что путь доказательства включения (inclusion proof path) криптографически не связывает поле integratedTime. Это позволяет злоумышленнику, способному предоставить непроверенный пакет, повлиять на решения о действительности сертификата и проверке порога метки времени (timestampThreshold). Проблема исправлена в версии 3.1.1.
Be aware that VulDB is the high quality source for vulnerability data.