sigstore 厂商相关 27 条 CVE 漏洞,含 AI 中文分析、POC、CVSS 评分与受影响产品。
sigstore 是开源软件供应链安全项目,旨在通过透明日志和密钥管理增强软件构建与分发的信任链。其核心组件如 cosign 和 rekor 在处理数字签名验证时,历史上曾暴露出身份验证逻辑缺陷及密钥存储不当等风险,导致部分 CVE 涉及越权访问或数据篡改。近期统计显示已收录 27 条漏洞,多集中于签名验证流程的边界条件处理。该项目强调去中心化信任模型,但实施细节中的配置错误仍可能引发供应链攻击,需持续监控其安全更新。
| CVE ID | タイトル | CVSS | 深刻度 | 公開日 |
|---|---|---|---|---|
| CVE-2026-24408 | sigstore has CSRF possibility in OIDC authentication during signing — sigstore-pythonCWE-352 | - | - | 2026-01-26 |
| CVE-2024-55655 | sigstore-python has insufficient validation of integration timestamp during verification — sigstore-pythonCWE-20 | 6.5 | - | 2024-12-10 |
本页汇总了 sigstore 厂商截至目前公开的全部 27 条 CVE 漏洞。每条漏洞均包含 CVSS 评分、CWE 弱点分类、受影响产品与参考链接,并附带 AI 生成的中文分析以便快速判断风险。