Plateforme
go
Composant
github.com/sigstore/cosign
Corrigé dans
3.0.6
3.0.5
La vulnérabilité CVE-2026-24122 affecte la bibliothèque Cosign, développée par sigstore. Elle permet à un attaquant de contourner la validation des certificats, en considérant comme valides des signatures utilisant des certificats intermédiaires expirés lorsque la vérification du journal de transparence est désactivée. Cette faille impacte les versions de Cosign comprises entre 3.0.0 et 3.0.4. La correction est disponible dans la version 3.0.5.
Cette vulnérabilité permet à un attaquant de valider des signatures malveillantes qui n'ont pas été correctement vérifiées. En ignorant les certificats intermédiaires expirés, Cosign peut accepter des signatures provenant de sources non fiables, compromettant l'intégrité des artefacts signés. Un attaquant pourrait ainsi distribuer des logiciels malveillants ou des images conteneurs modifiées, en les faisant apparaître comme authentiques. L'impact est limité à la confiance accordée aux signatures Cosign, mais peut avoir des conséquences significatives si ces signatures sont utilisées pour prendre des décisions critiques concernant la sécurité des applications.
La vulnérabilité a été rendue publique le 2026-02-23. Il n'y a pas d'indication d'exploitation active à ce jour. Le score de probabilité est considéré comme faible, en raison de la complexité de l'exploitation et du fait que Cosign est principalement utilisé dans des environnements contrôlés. Aucun PoC public n'est actuellement disponible.
Organizations heavily reliant on Cosign for container image signing and verification are at risk. This includes DevOps teams, CI/CD pipelines, and any environment where Cosign is used to ensure the integrity of software artifacts. Specifically, those with custom Cosign configurations or those who have disabled transparency log verification are at higher risk.
• go / binary: Examine Cosign binaries for signs of tampering or modification. Use go build to rebuild from source and verify checksums.
• generic web: Monitor Cosign API endpoints for unusual signature validation requests or errors. Check access logs for patterns indicative of attempted signature manipulation.
• generic web: Inspect Cosign configuration files for disabled transparency log verification. Look for unusual certificate paths or settings.
• generic web: Review system logs for Cosign-related errors or warnings, particularly those related to certificate validation.
disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 6%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Cosign vers la version 3.0.5 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de désactiver temporairement la vérification du journal de transparence, bien que cela diminue la sécurité. Il est également conseillé de revoir les politiques de signature et de validation pour s'assurer qu'elles sont robustes et qu'elles incluent des vérifications supplémentaires des certificats. Après la mise à jour, vérifiez la configuration de Cosign pour vous assurer que la validation des certificats est correctement activée et que les certificats intermédiaires sont correctement gérés.
Mettez à jour Cosign à la version 3.0.5 ou supérieure. Cette version corrige la validation incorrecte de la chaîne de certificats, assurant que les certificats émetteurs ne soient pas expirés avant le certificat feuille.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-24122 is a vulnerability in Cosign that allows signatures with expired intermediate certificates to be considered valid if transparency log verification is skipped, potentially enabling unauthorized software installation.
You are affected if you are using Cosign versions prior to 3.0.5 and have not ensured that transparency log verification is enabled and properly configured.
Upgrade Cosign to version 3.0.5 or later. Ensure transparency log verification is enabled and properly configured if upgrading is not immediately possible.
As of now, there is no evidence of active exploitation of CVE-2026-24122, and no public proof-of-concept code is available.
Refer to the official Cosign project repository and security announcements for the latest information and advisory regarding CVE-2026-24122.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.