Plataforma
python
Componente
sigstore
Corregido en
4.2.1
4.2.0
Se ha identificado una vulnerabilidad de Cross-Site Request Forgery (CSRF) en sigstore-python, afectando a versiones hasta la 4.1.0. Esta falla permite a un atacante manipular el flujo de autenticación OAuth, potencialmente engañando a un usuario para que firme contenido con una identidad controlada por el atacante. La vulnerabilidad ha sido publicada el 26 de enero de 2026 y se recomienda actualizar a la versión 4.2.0 para mitigar el riesgo.
La vulnerabilidad CSRF en sigstore-python permite a un atacante interceptar y modificar las solicitudes de autenticación OAuth. Un atacante podría, por ejemplo, crear una página web maliciosa que, al ser visitada por un usuario autenticado en sigstore-python, enviaría una solicitud de firma a un servidor controlado por el atacante. Esto permitiría al atacante firmar código o artefactos como si fueran del usuario legítimo, comprometiendo la integridad de la firma. El impacto se considera bajo, ya que requiere un ataque de intermediario y la manipulación del usuario para que interactúe con la página maliciosa.
La vulnerabilidad fue publicada el 26 de enero de 2026. Actualmente no se dispone de información sobre explotación activa en campañas conocidas. No se ha añadido a la lista KEV de CISA. La probabilidad de explotación se considera baja debido a la necesidad de un ataque de intermediario y la complejidad de la manipulación del usuario.
Developers and organizations using sigstore-python for code signing and verification are at risk. Specifically, those relying on OAuth authentication for sigstore-python and using versions prior to 4.2.0 are vulnerable. Shared hosting environments where multiple users share the same sigstore-python installation could also be affected.
• python / sigstore: Inspect OAuth authentication flows for unexpected requests or parameters.
# Example: Check for unusual state parameters in OAuth requests
import re
pattern = r'state=[a-zA-Z0-9_-]+'
# Analyze network traffic or application logs for this pattern• python / sigstore: Monitor for unusual code signing activity or unexpected signatures.
# Example: Check for signatures from unknown or suspicious identities
import cryptography
# Analyze code signing certificates and signaturesdisclosure
Estado del Exploit
EPSS
0.01% (1% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar sigstore-python a la versión 4.2.0 o superior, donde se ha corregido la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación estricta del parámetro 'state' en el servidor OAuth. Además, se aconseja educar a los usuarios sobre los riesgos de los ataques CSRF y la importancia de no interactuar con sitios web sospechosos. Después de la actualización, confirme la corrección revisando los logs de autenticación y verificando que el parámetro 'state' se valida correctamente.
Actualice la biblioteca sigstore-python a la versión 4.2.0 o superior. Esto corrige la vulnerabilidad CSRF en la autenticación OIDC durante la firma. Puede actualizar usando `pip install --upgrade sigstore`.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-24408 is a Cross-Site Request Forgery vulnerability in sigstore-python versions up to 4.1.0, allowing an attacker to potentially trick a user into signing data with an attacker-controlled identity.
You are affected if you are using sigstore-python version 4.1.0 or earlier. Upgrade to version 4.2.0 to mitigate the vulnerability.
Upgrade to sigstore-python version 4.2.0 or later. As a temporary workaround, enhance user awareness and restrict OAuth flows to trusted origins.
There are currently no known active exploits or campaigns targeting CVE-2026-24408, but the vulnerability remains present in older versions.
Refer to the official sigstore-python project's security advisories for the most up-to-date information: [https://github.com/sigstore/sigstore-python/security/advisories](https://github.com/sigstore/sigstore-python/security/advisories)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.