CVE-2026-48815 in sigstore-jsthông tin

Tóm tắt

Bởi VulDB • 14/07/2026

sigstore-js cung cấp các thư viện JavaScript để tương tác với các dịch vụ Sigstore. Trước phiên bản 4.1.1, tùy chọn certificateOIDs được tài liệu hóa trong hàm sigstore.verify() được API công khai chấp nhận nhưng bị loại bỏ trước khi xác minh, do đó các OID mở rộng chứng chỉ bắt buộc không bao giờ được kiểm tra và các ứng dụng dựa vào certificateOIDs để hạn chế những chứng chỉ nào có thể ký các artifact sẽ chấp nhận cả các chứng chỉ trái phép. Vấn đề này đã được khắc phục trong phiên bản 4.1.1.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

chịu trách nhiệm

GitHub M

Đặt trước

22/05/2026

Tiết lộ

15/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00000

KEV

không

Các hoạt động

thấp

Nguồn

Do you know our Splunk app?

Download it now for free!