Platform
python
Component
sigstore
Opgelost in
4.2.1
4.2.0
CVE-2026-24408 beschrijft een Cross-Site Request Forgery (CSRF) kwetsbaarheid in de sigstore-python bibliotheek. Deze kwetsbaarheid stelt een aanvaller in staat om een gebruiker te misleiden om acties uit te voeren zonder hun medeweten, zoals het ondertekenen van bestanden met een identiteit die de aanvaller controleert. De kwetsbaarheid treedt op in de OAuth authenticatie flow en beïnvloedt versies van sigstore-python tot en met 4.1.0. Een fix is beschikbaar in versie 4.2.0.
De impact van deze CSRF-kwetsbaarheid is relatief laag, maar nog steeds significant. Een man-in-the-middle aanvaller kan een sigstore-python gebruiker misleiden om een bestand of code te ondertekenen met een identiteit die de aanvaller controleert. Dit kan leiden tot het compromitteren van de integriteit van de ondertekende artefacten en het potentieel misbruik van de identiteit van de gebruiker. Hoewel de kwetsbaarheid niet direct leidt tot data-exfiltratie of systeemcompromittering, kan het gebruikt worden om de vertrouwensketen te ondermijnen en kwaadaardige software te verspreiden die als legitiem wordt beschouwd.
Op dit moment is er geen publieke proof-of-concept (POC) beschikbaar voor CVE-2026-24408. De kwetsbaarheid is opgenomen in het CISA KEV catalogus, wat wijst op een potentieel risico. De kans op actieve exploitatie is momenteel laag, maar het is belangrijk om de kwetsbaarheid te patchen om toekomstige aanvallen te voorkomen. De publicatiedatum van de CVE is 2026-01-26.
Developers and organizations using sigstore-python for code signing and verification are at risk. Specifically, those relying on OAuth authentication for sigstore-python and using versions prior to 4.2.0 are vulnerable. Shared hosting environments where multiple users share the same sigstore-python installation could also be affected.
• python / sigstore: Inspect OAuth authentication flows for unexpected requests or parameters.
# Example: Check for unusual state parameters in OAuth requests
import re
pattern = r'state=[a-zA-Z0-9_-]+'
# Analyze network traffic or application logs for this pattern• python / sigstore: Monitor for unusual code signing activity or unexpected signatures.
# Example: Check for signatures from unknown or suspicious identities
import cryptography
# Analyze code signing certificates and signaturesdisclosure
Exploit Status
EPSS
0.01% (1% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-24408 is het upgraden van sigstore-python naar versie 4.2.0 of hoger. Deze versie bevat een correctie die de CSRF-kwetsbaarheid adresseert door de 'state' parameter in de server response te valideren. Indien een upgrade momenteel niet mogelijk is, overweeg dan het implementeren van extra beveiligingsmaatregelen, zoals het gebruik van Content Security Policy (CSP) om de bronnen te beperken die de browser mag laden. Het is belangrijk om de applicatie te monitoren op verdachte OAuth authenticatie pogingen. Na de upgrade, verifieer de correcte werking van de OAuth authenticatie flow door handmatig een ondertekeningsactie uit te voeren en te controleren of de ondertekening correct verloopt.
Actualiseer de sigstore-python bibliotheek naar versie 4.2.0 of hoger. Dit corrigeert de CSRF kwetsbaarheid in OIDC authenticatie tijdens het ondertekenen. U kunt updaten met `pip install --upgrade sigstore`.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-24408 is a Cross-Site Request Forgery vulnerability in sigstore-python versions up to 4.1.0, allowing an attacker to potentially trick a user into signing data with an attacker-controlled identity.
You are affected if you are using sigstore-python version 4.1.0 or earlier. Upgrade to version 4.2.0 to mitigate the vulnerability.
Upgrade to sigstore-python version 4.2.0 or later. As a temporary workaround, enhance user awareness and restrict OAuth flows to trusted origins.
There are currently no known active exploits or campaigns targeting CVE-2026-24408, but the vulnerability remains present in older versions.
Refer to the official sigstore-python project's security advisories for the most up-to-date information: [https://github.com/sigstore/sigstore-python/security/advisories](https://github.com/sigstore/sigstore-python/security/advisories)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.