Platform
go
Component
github.com/sigstore/cosign
Opgelost in
3.0.1
2.6.4
3.0.6
CVE-2026-39395 is een kwetsbaarheid in de cosign verify-blob-attestation functie van github.com/sigstore/cosign, waardoor deze onterecht een 'Verified OK' resultaat kan rapporteren voor attestaties met een verkeerd geformatteerde payload of ongelijksoortige predicate types. Dit kan leiden tot het vertrouwen van gemanipuleerde software. De kwetsbaarheid treft versies van cosign vóór 3.0.6. Een patch is beschikbaar in versie 3.0.6.
CVE-2026-39395 in cosign verify-blob-attestation maakt het mogelijk om onjuist een "Verified OK" resultaat te rapporteren voor attestaties met verkeerd gevormde payloads of niet-overeenkomende predicaattypen. Voor oude bundle- en detached signatures was dit te wijten aan een logische fout in de foutafhandeling van de predicaattypvalidatie. Voor nieuwe bundles werd de predicaattypvalidatie volledig overgeslagen. Dit zou een aanvaller in staat kunnen stellen een kwaadaardige attestatie te creëren die de verificatie doorstaat, waardoor het vertrouwen in de integriteit van de geverifieerde blob wordt aangetast. De ernst van de impact hangt af van het niveau van vertrouwen dat wordt geplaatst in het attestatieverificatieproces.
Een aanvaller zou een kwaadaardige attestatie kunnen maken met een verkeerde payload of een ongeldig predicaattype. Als cosign verify-blob-attestation wordt uitgevoerd zonder --check-claims=true, kan de tool de attestatie ten onrechte als geldig melden, waardoor de aanvaller gecompromitteerde software kan distribueren met het uiterlijk van geverifieerd.
Exploit Status
EPSS
0.03% (9% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is om te upgraden naar versie 3.0.6 of hoger van cosign. Deze versie corrigeert de kwetsbaarheid door een juiste predicaattypvalidatie voor zowel oude als nieuwe bundle-formaten te implementeren. Het wordt ook sterk aanbevolen om de optie --check-claims=true te gebruiken bij het uitvoeren van cosign verify-blob-attestation. Dit dwingt een grondigere verificatie van de claims binnen de attestatie af, waardoor het risico op het accepteren van kwaadaardige attestaties aanzienlijk wordt verminderd. Het monitoren van de cosign-logs op ongebruikelijk gedrag kan ook helpen bij het identificeren van potentiële aanvallen.
Actualice Cosign a la versión 3.0.6 o superior para evitar que las validaciones de tipo de predicado se omitan o se manejen incorrectamente, lo que podría resultar en informes falsos de verificación exitosa de blobs con firmas o paquetes malformados.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Een blob-attestatie is een ondertekende verklaring die de integriteit en authenticiteit van een bestand (blob) verifieert. Het wordt gebruikt om ervoor te zorgen dat het bestand niet is gewijzigd sinds het is ondertekend.
Predicaattypvalidatie zorgt ervoor dat de attestatie overeenkomt met het type blob dat wordt geverifieerd. Zonder deze validatie zou een attestatie voor een bestandstype gebruikt kunnen worden om een ander bestandstype te verifiëren, wat aanvallen mogelijk zou maken.
Deze optie dwingt cosign om de claims binnen de attestatie te verifiëren en biedt zo een extra beveiligingslaag.
Werk zo snel mogelijk bij naar versie 3.0.6 of hoger. Gebruik in de tussentijd de optie --check-claims=true om het risico te beperken.
Er zijn andere tools voor het verifiëren van handtekeningen en attestaties, maar cosign is een populaire en veelgebruikte optie in het Kubernetes-ecosysteem.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.