Plataforma
go
Componente
github.com/sigstore/cosign
Corrigido em
3.0.1
2.6.4
3.0.6
A vulnerabilidade CVE-2026-39395 afeta a ferramenta cosign verify-blob-attestation do projeto github.com/sigstore/cosign, permitindo que atestações com payloads malformados ou tipos de predicados incompatíveis sejam erroneamente consideradas válidas. Essa falha pode levar a falsos positivos na verificação de integridade de software, comprometendo a confiança na cadeia de suprimentos. A vulnerabilidade afeta versões anteriores a 3.0.6 e foi corrigida nesta versão.
A vulnerabilidade CVE-2026-39395 em cosign verify-blob-attestation permite que seja reportado incorretamente um resultado de "Verificado OK" para atestações com payloads malformados ou tipos de predicado incompatíveis. Em bundles e assinaturas separadas de formato antigo, isso se devia a uma falha lógica no tratamento de erros da validação do tipo de predicado. Em bundles de formato novo, a validação do tipo de predicado era completamente ignorada. Isso poderia permitir que um atacante criasse uma atestação maliciosa que passasse na verificação, comprometendo a confiança na integridade do blob verificado. A gravidade do impacto depende do nível de confiança depositado no processo de verificação de atestações.
Um atacante poderia criar uma atestação maliciosa com um payload incorreto ou um tipo de predicado inválido. Se cosign verify-blob-attestation for executado sem --check-claims=true, a ferramenta pode falsamente reportar a atestação como válida, permitindo que o atacante distribua software comprometido com a aparência de estar verificado. A probabilidade de exploração é alta se os usuários confiarem cegamente na saída do cosign sem verificar a configuração e as versões.
Status do Exploit
EPSS
0.03% (percentil 9%)
CISA SSVC
Vetor CVSS
A mitigação principal é atualizar para a versão 3.0.6 ou superior de cosign. Esta versão corrige a vulnerabilidade implementando uma validação adequada do tipo de predicado tanto para bundles de formato antigo quanto novo. Também é fortemente recomendado usar a opção --check-claims=true ao executar cosign verify-blob-attestation. Isso força uma verificação mais completa das afirmações dentro da atestação, reduzindo significativamente o risco de aceitar atestações maliciosas. Monitorar os logs do cosign para detectar qualquer comportamento incomum também pode ajudar a identificar possíveis ataques.
Actualice Cosign a la versión 3.0.6 o superior para evitar que las validaciones de tipo de predicado se omitan o se manejen incorrectamente, lo que podría resultar en informes falsos de verificación exitosa de blobs con firmas o paquetes malformados.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Uma atestação de blob é uma declaração assinada que verifica a integridade e a autenticidade de um arquivo (blob). É usada para garantir que o arquivo não foi alterado desde que foi assinado.
A validação do tipo de predicado garante que a atestação corresponda ao tipo de blob que está sendo verificado. Sem essa validação, uma atestação para um tipo de arquivo pode ser usada para verificar outro, o que pode permitir ataques.
Esta opção força o cosign a verificar as afirmações dentro da atestação, fornecendo uma camada adicional de segurança.
Atualize para a versão 3.0.6 ou superior o mais rápido possível. Enquanto isso, use a opção --check-claims=true para mitigar o risco.
Existem outras ferramentas de verificação de assinaturas e atestações, mas o cosign é uma opção popular e amplamente utilizada no ecossistema Kubernetes.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.