Sigstore Rekor 爆出 SSRF 漏洞 (CVE-2026-24117)，供应链安全关键组件面临风险

Sigstore 项目下的关键软件供应链组件 Rekor 透明度日志服务器被曝存在一个严重的服务器端请求伪造 (SSRF) 漏洞。该漏洞编号为 CVE-2026-24117，允许攻击者通过操纵提供给 Rekor 的公钥 URL，诱使服务器向内部网络或受保护的系统发起未经授权的 HTTP 请求。这为攻击者探测内部基础设施、访问敏感数据或发起进一步攻击开辟了潜在路径。

漏洞存在于 `github.com/sigstore/rekor` 模块中，具体是通过用户提供的公钥 URL 触发。Rekor 是 Sigstore 生态系统的核心部分，用于创建不可篡改的软件制品签名记录，被广泛用于保障容器镜像、二进制文件等软件供应链的完整性与来源可信。此次安全更新将模块版本从 v1.3.6 提升至 v1.5.0，旨在修复此漏洞。尽管漏洞的严重性等级在初始披露中被标记为“未知”，但 SSRF 漏洞的性质及其在关键安全基础设施中的位置，使其对依赖 Rekor 进行软件验证和审计的企业和组织构成了切实的威胁。

此漏洞的披露正值全球对软件供应链安全关注度空前提高之际。任何能够破坏 Rekor 日志服务器安全性的漏洞，都可能动摇整个基于 Sigstore 的软件来源验证体系的信任基础。依赖该模块的开发者、平台和 CI/CD 流水线需要立即评估其部署，并优先应用此安全更新。虽然目前没有公开证据表明该漏洞已被广泛利用，但安全公告的发布本身就是一个明确的行动信号，要求所有相关方尽快缓解这一潜在风险点。