Plataforma
go
Componente
github.com/sigstore/cosign
Corregido en
3.0.6
3.0.5
La vulnerabilidad CVE-2026-24122 afecta a la herramienta cosign de github.com/sigstore/cosign. Esta vulnerabilidad permite que Cosign considere válidas las firmas de imágenes de contenedor cuando se utilizan certificados intermedios caducados, siempre y cuando se omita la verificación del registro de transparencia. Esto podría permitir a un atacante manipular imágenes de contenedor sin ser detectado, comprometiendo la integridad del software. La vulnerabilidad se corrige en la versión 3.0.5.
Un atacante podría explotar esta vulnerabilidad para firmar imágenes de contenedor maliciosas con certificados intermedios caducados, evitando la detección por parte de Cosign si la verificación del registro de transparencia está deshabilitada. Esto permitiría la distribución de software comprometido a través de canales de confianza, ya que los sistemas que utilizan Cosign para verificar firmas podrían aceptar inadvertidamente imágenes manipuladas. El impacto potencial incluye la ejecución de código malicioso, el robo de datos confidenciales y la interrupción de servicios críticos. La omisión de la verificación del registro de transparencia amplía el radio de explosión, permitiendo que la vulnerabilidad afecte a un mayor número de sistemas y aplicaciones.
La vulnerabilidad CVE-2026-24122 fue publicada el 23 de febrero de 2026. No se ha reportado explotación activa en entornos de producción. La probabilidad de explotación se considera baja, ya que requiere la omisión intencional de la verificación del registro de transparencia, una configuración poco común. No se ha añadido a KEV ni se dispone de un EPSS score. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.
Organizations heavily reliant on Cosign for container image signing and verification are at risk. This includes DevOps teams, CI/CD pipelines, and any environment where Cosign is used to ensure the integrity of software artifacts. Specifically, those with custom Cosign configurations or those who have disabled transparency log verification are at higher risk.
• go / binary: Examine Cosign binaries for signs of tampering or modification. Use go build to rebuild from source and verify checksums.
• generic web: Monitor Cosign API endpoints for unusual signature validation requests or errors. Check access logs for patterns indicative of attempted signature manipulation.
• generic web: Inspect Cosign configuration files for disabled transparency log verification. Look for unusual certificate paths or settings.
• generic web: Review system logs for Cosign-related errors or warnings, particularly those related to certificate validation.
disclosure
Estado del Exploit
EPSS
0.02% (6% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-24122 es actualizar a la versión 3.0.5 de cosign. Si la actualización no es inmediatamente posible, se recomienda habilitar la verificación del registro de transparencia en la configuración de Cosign para evitar que se acepten firmas con certificados intermedios caducados. Además, se debe revisar la configuración de los certificados utilizados por Cosign para asegurar que todos los certificados intermedios sean válidos y estén actualizados. Después de la actualización, confirme la correcta verificación de las firmas mediante la prueba con imágenes firmadas válidas y, si es posible, con imágenes firmadas con certificados intermedios próximos a caducar.
Actualice Cosign a la versión 3.0.5 o superior. Esta versión corrige la validación incorrecta de la cadena de certificados, asegurando que los certificados emisores no estén expirados antes del certificado hoja.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-24122 is a vulnerability in Cosign that allows signatures with expired intermediate certificates to be considered valid if transparency log verification is skipped, potentially enabling unauthorized software installation.
You are affected if you are using Cosign versions prior to 3.0.5 and have not ensured that transparency log verification is enabled and properly configured.
Upgrade Cosign to version 3.0.5 or later. Ensure transparency log verification is enabled and properly configured if upgrading is not immediately possible.
As of now, there is no evidence of active exploitation of CVE-2026-24122, and no public proof-of-concept code is available.
Refer to the official Cosign project repository and security announcements for the latest information and advisory regarding CVE-2026-24122.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.