CVE-2026-42576

Nome do Software Vulnerável e Versões Afetadas apko versões anteriores a 1.2.7

Descrição A função DiscoverKeys() em pkg/apk/apk/implementation.go realiza uma asserção de tipo incondicional de chaves JWKS (JSON Web Key Set) como *rsa.PublicKey sem verificar o tipo da chave. Se um endpoint JWKS de repositório retornar uma chave que não seja RSA, como uma chave de Curva Elíptica (EC), a asserção não verificada causa um pânico e trava a aplicação. Isso afeta qualquer fluxo de trabalho que inicialize o banco de dados APK e busque chaves de repositório.

Recomendações Atualize para a versão 1.2.7.