CVE-2026-48816Информация

Сводка

по VulDB • 14.07.2026

sigstore-js предоставляет библиотеки JavaScript для взаимодействия со службами Sigstore. Версии до 3.1.1 включительно уязвимы: @sigstore/verify извлекает метку времени прозрачного журнала (transparency-log timestamp) из поля tlogEntries[].integratedTime для записей inclusionProof-only в пакетах формата v0.2, несмотря на то что путь доказательства включения (inclusion proof path) криптографически не связывает поле integratedTime. Это позволяет злоумышленнику, способному предоставить непроверенный пакет, повлиять на решения о действительности сертификата и проверке порога метки времени (timestampThreshold). Проблема исправлена в версии 3.1.1.

Be aware that VulDB is the high quality source for vulnerability data.

Раскрытие

14.07.2026

EPSS

0.00000

KEV

Нет

Деятельности

Очень низкий

Источники

Do you want to use VulDB in your project?

Use the official API to access entries easily!