Vulnerabilidad en Gitsign (CVE-2024-51746)
Gravedad CVSS v4.0:
BAJA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
05/11/2024
Última modificación:
06/11/2024
Descripción
Gitsign es una herramienta de firma de Sigstore sin clave para las confirmaciones de Git con su identidad de GitHub/OIDC. gitsign puede seleccionar la entrada de Rekor incorrecta para usar durante la verificación en línea cuando el registro devuelve varias entradas. gitsign usa la API de búsqueda de Rekor para obtener las entradas que se aplican a una firma que se está verificando. Los parámetros utilizados para la búsqueda son la clave pública y el payload. La API de búsqueda devuelve las entradas que coinciden con una de las condiciones en lugar de ambas. Cuando se usa el caché de credenciales de gitsign, puede haber varias entradas que usen el mismo certificado de firma/par de claves efímeras. Como gitsign asume que Rekor cumple con ambas condiciones, no hay una validación adicional de que el hash de la entrada coincida con el payload que se está verificando, lo que significa que se puede usar la entrada incorrecta para pasar la verificación con éxito. El impacto es mínimo ya que, si bien gitsign no compara el payload con la entrada, sí garantiza que el certificado coincida. Esto debería ser explotado durante la ventana de validez del certificado (10 minutos) por el titular de la clave.
Impacto
Puntuación base 4.0
1.80
Gravedad 4.0
BAJA