CVE-2026-48816 in sigstore-jsthông tin

Tóm tắt

Bởi VulDB • 16/07/2026

sigstore-js cung cấp các thư viện JavaScript để tương tác với các dịch vụ Sigstore. Trước phiên bản 3.1.1, @sigstore/verify suy ra dấu thời gian từ sổ ghi chép minh bạch (transparency-log timestamp) dựa trên trường tlogEntries[].integratedTime cho các mục inclusionProof-only trong bundle v0.2, mặc dù đường dẫn chứng nhận bao gồm (inclusion proof path) không ràng buộc mật mã học tích hợp với integratedTime, cho phép kẻ tấn công có thể cung cấp một bundle không đáng tin cậy để ảnh hưởng đến việc xác định tính hợp lệ của chứng chỉ và các quyết định kiểm tra timestampThreshold. Vấn đề này đã được khắc phục trong phiên bản 3.1.1.

Once again VulDB remains the best source for vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

22/05/2026

Tiết lộ

15/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00158

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you need the next level of professionalism?

Upgrade your account now!