Vulnerabilidad en sigstore-java (CVE-2024-54140)
Gravedad CVSS v4.0:
BAJA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
05/12/2024
Última modificación:
15/04/2026
Descripción
sigstore-java es un cliente java de sigstore para interactuar con la infraestructura de sigstore. sigstore-java no tiene suficiente verificación para una situación en la que un paquete proporciona una firma no válida para un punto de control. Este error afecta a los clientes que usan cualquier variación de KeylessVerifier.verify(). Actualmente, los puntos de control solo se usan para garantizar que el registro en cuestión proporcionó el hash raíz de una prueba de inclusión. Si no se puede validar eso, un paquete puede proporcionar una prueba de inclusión que en realidad no corresponde al registro en cuestión. Esto puede eventualmente hacer que un monitor/testigo no pueda detectar cuándo los registros comprometidos brindan diferentes vistas de sí mismos a diferentes clientes. Existen otros mecanismos en este momento que mitigan esto, como la timestamp de entrada firmada. Sigstore-java actualmente requiere una timestamp de entrada firmada válida. Al verificar correctamente la timestamp de entrada firmada, podemos hacer ciertas afirmaciones sobre el registro que firma la entrada del registro (como si el registro estuviera al tanto del evento de firma del artefacto y lo firmara). Por lo tanto, el impacto en los clientes que no son monitores/testigos es muy bajo. Esta vulnerabilidad se corrigió en 1.2.0.
Impacto
Puntuación base 4.0
2.10
Gravedad 4.0
BAJA