PT-2026-31010 · Google · Cosign
Kodareef5
·
Publicado
2026-04-07
·
Atualizado
2026-06-11
·
CVE-2026-39395
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
Name of the Vulnerable Software and Affected Versions
Cosign versões anteriores a 3.0.6 e anteriores a 2.6.3
Description
Cosign, uma ferramenta para assinatura de código e transparência para contêineres e binários, apresentava uma falha em
verify-blob-attestation onde poderia relatar incorretamente uma verificação bem-sucedida (“Verified OK”) para atestações contendo cargas úteis malformadas ou tipos de predicado incompatíveis. Isso ocorreu devido a um erro de lógica na validação do tipo de predicado para formatos de pacote mais antigos e uma ignorância completa da validação do tipo de predicado para formatos de pacote mais recentes.Recommendations
Atualize para a versão 3.0.6 ou posterior.
Atualize para a versão 2.6.3 ou posterior.
Correção
Improper Check for Exceptional Conditions
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cosign