Plateforme
python
Composant
rfc3161-client
Corrigé dans
1.0.7
1.0.6
Une vulnérabilité de contournement d'autorisation a été découverte dans la bibliothèque rfc3161-client, affectant les versions inférieures ou égales à 1.0.5. Cette faille permet à un attaquant de se faire passer pour une Autorité de Marque-Temps (TSA) de confiance, compromettant l'intégrité des données horodatées. La correction est disponible dans la version 1.0.6 et son application est fortement recommandée.
L'exploitation de cette vulnérabilité permet à un attaquant d'usurper l'identité d'une TSA légitime. En manipulant la structure PKCS#7 et en ajoutant un certificat falsifié correspondant aux critères de common_name et d'Utilisation Étendue de la Clé (EKU), l'attaquant peut contourner la vérification d'autorisation. Cela permet de falsifier des marques-temps, ce qui peut avoir des conséquences graves sur la confiance dans l'authenticité et l'intégrité des documents numériques. Un attaquant pourrait ainsi compromettre des processus d'audit, des signatures numériques et d'autres applications qui dépendent de la fiabilité des marques-temps. Le risque est d'autant plus élevé que les TSA sont souvent utilisées dans des contextes critiques, tels que la conformité réglementaire et la sécurité des transactions.
Cette vulnérabilité a été rendue publique le 8 avril 2026. Il n'y a pas d'indication d'une exploitation active à ce jour, ni de sa présence dans le catalogue KEV de CISA. La probabilité d'exploitation est considérée comme faible à moyenne, compte tenu de la nécessité d'une connaissance approfondie du protocole de marque-temps et de la structure PKCS#7. Des preuves de concept publiques n'ont pas été signalées à ce jour.
Applications and systems relying on rfc3161-client for time stamping services are at risk. This includes systems involved in digital signatures, code signing, and any process requiring verifiable timestamps for regulatory compliance or data integrity. Specifically, organizations using custom integrations with time stamping authorities are particularly vulnerable.
• python / library:
import rfc3161
import hashlib
def check_rfc3161_version():
try:
import rfc3161
print(f"rfc3161-client version: {rfc3161.__version__}")
if rfc3161.__version__ <= '1.0.5':
print("WARNING: Vulnerable to CVE-2026-33753")
else:
print("rfc3161-client is patched.")
except ImportError:
print("rfc3161-client is not installed.")
check_rfc3161_version()disclosure
Statut de l'Exploit
EPSS
0.00% (percentile 0%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour la bibliothèque rfc3161-client vers la version 1.0.6 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution temporaire consiste à renforcer la validation des certificats côté application. Il est crucial de vérifier que le certificat présenté par la TSA correspond bien à l'autorité attendue et de s'assurer que les critères de common_name et EKU sont strictement respectés. En attendant la mise à jour, il est recommandé de surveiller attentivement les journaux d'événements pour détecter toute activité suspecte liée à la validation des certificats. Après la mise à jour, vérifiez que la bibliothèque est correctement installée et que la version est bien celle attendue avec pip show rfc3161-client.
Mettez à jour la bibliothèque (rfc3161-client) à la version 1.0.6 ou supérieure pour corriger la vulnérabilité de contournement d'autorisation. Cette version implémente une validation plus robuste des certificats, empêchant la manipulation et l'utilisation de certificats falsifiés pour le horodatage.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-33753 décrit une vulnérabilité de contournement d'autorisation dans la bibliothèque rfc3161-client qui permet à un attaquant de se faire passer pour une Autorité de Marque-Temps (TSA).
Vous êtes affecté si vous utilisez rfc3161-client en version inférieure ou égale à 1.0.5.
Mettez à jour rfc3161-client vers la version 1.0.6 ou supérieure. En attendant, renforcez la validation des certificats côté application.
À ce jour, il n'y a pas d'indication d'une exploitation active de CVE-2026-33753.
Consultez le dépôt GitHub de rfc3161-client pour les informations et les mises à jour concernant cette vulnérabilité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.