PT-2026-58289 · Npm · Sigstore-Js

CVE-2026-59891

·

Publicado

2026-07-14

·

Atualizado

2026-07-14

CVSS v3.1

9.6

Crítica

VetorAV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas sigstore-js versões anteriores a 0.7.1
Description A função getRegistryCredentials() lê credenciais do arquivo de configuração do Docker e seleciona uma entrada verificando se qualquer chave de autenticação configurada contém a string do registro de destino. Devido ao uso de uma correspondência de substring em vez de uma correspondência exata de host, credenciais destinadas a um registro podem ser incorretamente selecionadas e transmitidas para um registro diferente se o seu hostname possuir uma relação de substring com uma chave de autenticação configurada.
Recommendations Atualize para a versão 0.7.1.

Exploit

Correção

Insufficiently Protected Credentials

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-59891
GHSA-PF56-329R-95RW

Produtos afetados

Sigstore-Js