anonhaven

CVE-2026-31830

HIGH CVSS 3.1: 7,5 EPSS 0.03%
Обновлено 10 марта 2026
Ruby
Параметр Значение
CVSS 7,5 (HIGH)
Устранено в версии 0.2.3
Тип уязвимости CWE-252
Поставщик Ruby
Публичный эксплойт Нет

sigstore-ruby — это реализация команды sigstoreverify из проекта sigstore/cosign на чистом Ruby. До версии 0.2.3 Sigstore::Verifier#verify не распространяет VerificationFailure, возвращаемыйverify_in_toto, когда дайджест артефакта не соответствует дайджесту в субъекте аттестации in-toto. В результате проверка пакетов DSSE, содержащих инструкции in-toto, возвращает VerificationSuccess независимо от того, соответствует ли артефакт аттестованному субъекту.

Эта уязвимость исправлена ​​в версии 0.2.3.

Показать оригинальное описание (EN)

sigstore-ruby is a pure Ruby implementation of the sigstore verify command from the sigstore/cosign project. Prior to 0.2.3, Sigstore::Verifier#verify does not propagate the VerificationFailure returned by verify_in_toto when the artifact digest does not match the digest in the in-toto attestation subject. As a result, verification of DSSE bundles containing in-toto statements returns VerificationSuccess regardless of whether the artifact matches the attested subject. This vulnerability is fixed in 0.2.3.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Нет
Нет утечки данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-252

Ссылки 1

https://github.com/sigstore/sigstore-ruby/security/advisories/GHSA-mhg6-2q2v-9h…
security-advisories@github.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-27635

Ruby

7,5

CVE-2026-27614

Ruby

9,3

CVE-2026-2302

Ruby

6,9

CVE-2026-25765

Ruby

5,8

CVE-2026-25757

Ruby

7,7