Vulnerabilidad en cosign de sigstore (CVE-2026-22703)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-345
Verificación insuficiente de autenticidad de los datos
Fecha de publicación:
10/01/2026
Última modificación:
05/02/2026
Descripción
Cosign proporciona firma de código y transparencia para contenedores y binarios. Antes de las versiones 2.6.2 y 3.0.4, un paquete de Cosign podía ser manipulado para verificar con éxito un artefacto incluso si la entrada de Rekor incrustada no hacía referencia al *digest* del artefacto, a la firma o a la clave pública. Al verificar una entrada de Rekor, Cosign verifica la firma de la entrada de Rekor y también compara el *digest* del artefacto, la clave pública del usuario (ya sea de un certificado de Fulcio o proporcionada por el usuario) y la firma del artefacto con el contenido de la entrada de Rekor. Sin estas comparaciones, Cosign aceptaría cualquier respuesta de Rekor como válida. Un actor malicioso que haya comprometido la identidad o la clave de firma de un usuario podría construir un paquete de Cosign válido incluyendo cualquier entrada de Rekor arbitraria, impidiendo así al usuario auditar el evento de firma. Este problema ha sido parcheado en las versiones 2.6.2 y 3.0.4.
Impacto
Puntuación base 3.x
5.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:sigstore:cosign:*:*:*:*:*:*:*:* | 2.6.2 (excluyendo) | |
| cpe:2.3:a:sigstore:cosign:*:*:*:*:*:*:*:* | 3.0.0 (incluyendo) | 3.0.4 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página