PT-2026-4830 · Unknown · Sigstore-Python

Jku

Publicado

2026-01-26

Atualizado

2026-03-02

CVE-2026-24408

CVSS v3.1

5.0

Média

Vetor

AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:L

Name of the Vulnerable Software and Affected Versions sigstore-python versions prior to 4.2.0

Description sigstore-python is a Python tool used for generating and verifying Sigstore signatures. A flaw exists in the OAuth authentication flow, making it susceptible to Cross-Site Request Forgery. The OAuthSession creates a unique "state" parameter for authentication requests, but the server response does not cross-check this value, potentially allowing attackers to exploit the vulnerability.

Recommendations Update to version 4.2.0 or later.

Exploit

Correção

CSRF

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-352

Identificadores relacionados

CVE-2026-24408

GHSA-HM8F-75XX-W2VR

OPENSUSE-SU-2026:10104-1

Produtos afetados

Sigstore-Python

PT-2026-4830 · Unknown · Sigstore-Python

CVE-2026-24408

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 15