PT-2025-49174 · Unknown+1 · Sigstore Timestamp Authority+1

Publicado

2025-01-01

·

Atualizado

2026-05-18

·

CVE-2025-66564

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Nome do Software Vulnerável e Versões Afetadas Versões do Sigstore Timestamp Authority anteriores à 2.0.3
Descrição O Sigstore Timestamp Authority é um serviço para emissão de carimbos de tempo RFC 3161. As funções api.ParseJSONRequest e api.getContentType estão suscetíveis a um problema de negação de serviço devido à alocação excessiva de memória. Especificamente, essas funções dividem dados não confiáveis — um Identificador de Objeto (OID) no payload e o cabeçalho Content-Type — em caracteres de ponto e uma string de aplicação, respectivamente. Uma solicitação maliciosa contendo um OID longo com numerosos pontos ou um cabeçalho Content-Type malformado pode fazer com que essas funções aloquem memória proporcional ao tamanho da entrada, potencialmente levando a uma negação de serviço. As funções vulneráveis são api.ParseJSONRequest e api.getContentType.
Recomendações Atualize para a versão 2.0.3 ou posterior.

Exploit

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-405

Identificadores relacionados

CLEANSTART-2026-BD19566
CLEANSTART-2026-EZ47382
CLEANSTART-2026-GK29346
CLEANSTART-2026-HF07497
CLEANSTART-2026-NS33477
CLEANSTART-2026-NV36169
CLEANSTART-2026-WB12909
CVE-2025-66564
ECHO-F7D3-2463-68E7
GHSA-4QG8-FJ49-PXJH
GO-2025-4192
OPENSUSE-SU-2026:10131-1
OPENSUSE-SU-2026:20191-1
SUSE-SU-2025:4395-1

Produtos afetados

Debian
Sigstore Timestamp Authority