LOWCVE-2026-24408CVSS 2.5

署名時のOIDC認証におけるsigstore CSRFの可能性

Q: CVE-2026-24408 in sigstore-pythonに影響を受けますか？

sigstore-pythonのバージョンが4.1.0以前の場合は、この脆弱性に影響を受けます。バージョン4.2.0以降にアップグレードすることで、脆弱性を解消できます。

Q: CVE-2026-24408 in sigstore-pythonを修正するにはどうすればよいですか？

sigstore-pythonをバージョン4.2.0以降にアップグレードしてください。アップグレードが困難な場合は、サーバー側の「state」パラメータの検証を追加してください。

Q: CVE-2026-24408は積極的に悪用されていますか？

現時点では、公開されているPoCは確認されていませんが、潜在的なリスクは存在します。

Q: CVE-2026-24408に関するsigstore-pythonの公式アドバイザリはどこで入手できますか？

sigstore-pythonの公式アドバイザリは、プロジェクトのGitHubリポジトリまたは関連するセキュリティ情報サイトで確認できます。

プラットフォーム

python

コンポーネント

sigstore

修正版

4.2.1

4.2.0

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-24408は、sigstore-pythonのOAuth認証フローにおけるクロスサイトリクエストフォージェリ（CSRF）の脆弱性です。攻撃者は、中間者攻撃によって、sigstore-pythonユーザーを騙し、攻撃者が制御するIDで何かを署名させることが可能です。この脆弱性は、sigstore-pythonのバージョン4.1.0以前に影響を与え、4.2.0で修正されました。

影響と攻撃シナリオ

この脆弱性を悪用すると、攻撃者は中間者攻撃を実行し、正規のsigstore-pythonユーザーを騙して、悪意のあるエンティティによって制御されるIDでコンテンツに署名させることが可能になります。これにより、署名されたコンテンツの信頼性が損なわれ、攻撃者が不正なソフトウェアやデータを配布する可能性があります。攻撃者は、ユーザーが意図しない操作を実行させ、認証されたセッションを乗っ取る可能性があります。この脆弱性の影響は限定的と考えられますが、署名されたコンテンツの完全性を脅かす可能性があります。

悪用の状況

この脆弱性は、2026年1月26日に公開されました。現時点では、公開されているPoCは確認されていませんが、CSRFの一般的な攻撃手法が適用可能であるため、潜在的なリスクは存在します。CISA KEVカタログへの登録状況は不明です。

リスク対象者翻訳中…

Developers and organizations using sigstore-python for code signing and verification are at risk. Specifically, those relying on OAuth authentication for sigstore-python and using versions prior to 4.2.0 are vulnerable. Shared hosting environments where multiple users share the same sigstore-python installation could also be affected.

検出手順翻訳中…

• python / sigstore: Inspect OAuth authentication flows for unexpected requests or parameters.

# Example: Check for unusual state parameters in OAuth requests
import re
pattern = r'state=[a-zA-Z0-9_-]+'
# Analyze network traffic or application logs for this pattern

• python / sigstore: Monitor for unusual code signing activity or unexpected signatures.

# Example: Check for signatures from unknown or suspicious identities
import cryptography
# Analyze code signing certificates and signatures

攻撃タイムライン

2026-01-26Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.01% (1% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントsigstore

ベンダーosv

影響範囲修正版

< 4.2.0 – < 4.2.04.2.1

—4.2.0

弱点分類 (CWE)

CWE-352

タイムライン

予約済み2026-01-22
公開日2026-01-26
更新日2026-02-03
EPSS 更新日2026-03-23

公開後1日でパッチ適用

緩和策と回避策

この脆弱性への対応策として、sigstore-pythonをバージョン4.2.0以降にアップグレードすることを推奨します。アップグレードが困難な場合は、認証リクエストの送信時に「state」パラメータを検証するサーバー側のチェックを追加することで、CSRF攻撃のリスクを軽減できます。また、WAF（Web Application Firewall）を導入し、CSRF攻撃のパターンを検出・ブロックするルールを設定することも有効です。認証プロセスを慎重に設計し、ユーザーの操作を検証することで、攻撃のリスクをさらに低減できます。

修正方法

sigstore-python ライブラリをバージョン 4.2.0 以降にアップデートしてください。これにより、署名時の OIDC 認証における CSRF の脆弱性が修正されます。`pip install --upgrade sigstore` を使用してアップデートできます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-24408 — CSRF in sigstore-pythonとは何ですか？

CVE-2026-24408は、sigstore-pythonのOAuth認証フローにおけるクロスサイトリクエストフォージェリ（CSRF）の脆弱性です。攻撃者は、ユーザーを騙して悪意のある署名を作成させることが可能です。

CVE-2026-24408 in sigstore-pythonに影響を受けますか？