gittuf's policy can be rolled back to prior valid versions — CVE-2026-44544
GHSA · GitHub · CVE-2026-44544
ID
CVE-2026-44544
CVE-2026-44544
Date
Mis à jour
Activity
Source
GHSA
GHSA
Fournisseur
GitHub
GitHub
Risque
medium
medium
CVSS
6
6
Résumé
## Summary An attacker with push access to gittuf's Reference State Log (RSL) can roll back the current policy to any previous policy trusted by the current set of root keys. ## Impact gittuf determines the policy to load by inspecting the RSL. Except for the very first policy (which is automatically trusted given gittuf's TOFU model, or verified against manually specified keys), whenever an RSL entry that points…
Produit
go: github.com/gittuf/gittuf
Que faire
Mesures générales et prudentes (vérifiez les détails dans la source officielle) :
- Évaluez l’exposition et planifiez la remédiation selon le risque et l’environnement.
- Identifiez les versions affectées dans votre inventaire et vérifiez si vous êtes concerné.
- Appliquez les correctifs/mises à jour du fournisseur ou les atténuations recommandées.
- Consultez l’avis officiel pour les versions affectées et les étapes de remédiation.