关键漏洞信息 漏洞概述 标题: Terminating targets role delegations are not respected 严重性: Moderate (4.2/10) CVE ID: CVE-2025-2886 弱点: CWE-670 影响范围 受影响版本: < 0.20.0 修复版本: 0.20.0 描述 总结: - Delegations 是 TUF 规范中定义的一种机制,允许多个不同的身份在单个存储库中提供和签名内容。 - 终止委托和委托优先级为 TUF 存储库提供了对重叠委托如何解决的明确控制。 - tough 错误地不会终止搜索,并会接受来自较低优先级委托的信息。 影响: - 当与使用委托的 TUF 存储库交互时,tough 客户端可能会获取由错误角色拥有的目标。 - 委托了 TUF 存储库子集所有权的参与者可以向 tough 客户端提供任意内容。 修复措施 补丁: - 修复此问题的补丁在 tough 版本 0.20.0 及更高版本中可用。 - 建议客户升级到版本 0.20.0 或更高版本,并确保任何分叉或衍生代码都包含新修复。 变通方法: - 没有推荐的变通方法。建议客户升级到版本 0.20.0 或最新版本。 其他信息 参考: - 如有任何问题或评论,请联系 AWS/Amazon Security。 - 漏洞报告页面 致谢: - 感谢 Google 在协调漏洞披露过程中对此问题的合作。