CVE-2026-24122

Nome do Software Vulnerável e Versões Afetadas Versões 3.0.4 e anteriores do Cosign

Descrição O Cosign é uma ferramenta que fornece assinatura de código e transparência para contêineres e binários. Uma falha no processo de validação de certificado permite que Autoridades Certificadoras intermediárias expiradas validem assinaturas sob certas condições. Especificamente, ao verificar assinaturas de artefatos, o Cosign verifica inicialmente a cadeia de certificados usando o carimbo de tempo "not before" do certificado folha e, subsequentemente, verifica a expiração do certificado folha usando um carimbo de tempo assinado ou a hora atual. Assume-se que a raiz e todos os certificados emissores são válidos durante a validade do certificado folha. Isso pode ocorrer quando um certificado emissor expira antes do certificado folha, mas um carimbo de tempo fornecido indica que o certificado emissor deve ser considerado expirado. Este problema não afeta usuários da infraestrutura pública do Sigstore, mas pode impactar implantações privadas com PKIs personalizadas.

Recomendações Atualize para a versão 3.0.5 ou posterior. Verifique a cadeia de certificados independentemente como solução alternativa.