CVE-2026-44544

Nome do Software Vulnerável e Versões Afetadas gittuf versões anteriores a 0.14.0

Description Um invasor com acesso de push ao Reference State Log (RSL) pode reverter a política atual para qualquer política anterior confiável pelo conjunto atual de chaves raiz. Isso ocorre porque o gittuf determina a política a ser carregada inspecionando o RSL e valida novas políticas verificando se seus metadados de raiz são assinados pelo limite exigido das chaves raiz da política atual. Consequentemente, um invasor pode criar uma nova entrada no RSL referenciando uma política antiga e confiável para reverter o sistema para um estado escolhido. Este ataque é limitado a políticas ainda confiáveis pelas chaves raiz mais recentes e requer que o invasor ou a plataforma de hospedagem tenha acesso de push ao RSL.

Recommendations Atualize para a versão 0.14.0 ou posterior. Após a atualização, um usuário da raiz de confiança ou administrador de políticas deve executar o comando gittuf trust increment-version ou gittuf policy increment-version para adicionar o campo de número monotonicamente crescente aos metadados.