脆弱性情報
高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
sigstore-js: Insufficient Verification of Data Authenticity
脆弱性説明
sigstore-js provides JavaScript libraries for interacting with Sigstore services. Prior to 3.1.1, @sigstore/verify derives a transparency-log timestamp from tlogEntries[].integratedTime for bundle v0.2 inclusionProof-only entries even though the inclusion proof path does not cryptographically bind integratedTime, allowing an attacker who can supply an untrusted bundle to influence certificate validity and timestampThreshold verification decisions. This issue is fixed in version 3.1.1.
CVSS情報
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N
脆弱性タイプ
对数据真实性的验证不充分
脆弱性タイトル
sigstore sigstore-js 输入验证错误漏洞
脆弱性説明
sigstore sigstore-js是美国sigstore组织的一个JavaScript签名服务库。 sigstore sigstore-js 3.1.1之前版本存在输入验证错误漏洞,该漏洞源于透明日志时间戳的生成方式可能导致不受信任的捆绑包影响证书有效性和时间戳阈值验证决策。
CVSS情報
N/A
脆弱性タイプ
N/A