PT-2026-3904 · Go-Tuf · Go-Tuf

Kommendorkapten

·

Publicado

2026-01-19

·

Atualizado

2026-05-18

·

CVE-2026-23992

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
Nome do Software Vulnerável e Versões Afetadas Versões do go-tuf de 2.0.0 a 2.3.0
Descrição O go-tuf, uma implementação em Go do The Update Framework (TUF), está suscetível a uma condição na qual um repositório comprometido ou mal configurado pode ter limiares de assinatura definidos como 0. Isso efetivamente desabilita a verificação de assinatura, potencialmente permitindo a modificação não autorizada de arquivos de metadados do TUF em trânsito ou em repouso.
Recomendações Atualize para a versão 2.3.1 ou posterior. Como solução alternativa, certifique-se de que as funções de metadados do TUF estejam configuradas com um limiar de pelo menos 1.

Exploit

Correção

Improper Verification of Cryptographic Signature

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-347

Identificadores relacionados

AZL-75189
BDU:2026-01059
CLEANSTART-2026-HF07497
CLEANSTART-2026-SH14815
CLEANSTART-2026-WN01990
CVE-2026-23992
GHSA-FPHV-W9FQ-2525
GO-2026-4349
OPENSUSE-SU-2026:10235-1
OPENSUSE-SU-2026:20386-1
SUSE-SU-2026:0403-1
SUSE-SU-2026:0757-1
SUSE-SU-2026:0777-1
SUSE-SU-2026:20904-1

Produtos afetados

Go-Tuf