发布日期：2024-12-05
更新日期：2025-02-12

受影响系统：

sigstore sigstore-java < 1.2.0
sigstore sigstore-java

描述：

---

CVE(CAN) ID: CVE-2024-54140

sigstore-java是sigstore开源的一个用于与sigstore基础架构交互的sigstore java客户端。
sigstore-java 1.2.0之前版本存在输入验证错误漏洞，该漏洞源于在用户提供无效签名的情况下无法进行充分验证，攻击者可利用该漏洞使捆绑程序提供实际上与相关日志并不对应的包含证明从而使监控者/见证者无法检测到被破坏的日志是否向不同客户端提供了不同的视图。

<**>

建议：

---

厂商补丁：

sigstore
--------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/sigstore/sigstore-java/releases/tag/v1.2.0

浏览次数：13
严重程度：0（网友投票）