MEDIUMCVE-2026-33753CVSS 6.2

CVE-2026-33753: Authorization Bypass in rfc3161-client

Q: CVE-2026-33753 — 認証バイパスはrfc3161-clientで何ですか？

CVE-2026-33753は、Pythonライブラリ`rfc3161-client`の署名検証における認証バイパス脆弱性であり、攻撃者が信頼されたタイムスタンプ認証局（TSA）になりすますことを可能にします。

Q: CVE-2026-33753でrfc3161-clientを使用しています。影響を受けますか？

はい、バージョン1.0.5以前の`rfc3161-client`を使用している場合は、この脆弱性の影響を受けます。

Q: CVE-2026-33753でrfc3161-clientを修正するにはどうすればよいですか？

`rfc3161-client`をバージョン1.0.6にアップデートしてください。アップデートが利用できない場合は、入力検証を強化することを検討してください。

Q: CVE-2026-33753は積極的に悪用されていますか？

現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、悪用される可能性はあります。

Q: CVE-2026-33753のrfc3161-clientの公式アドバイザリはどこで入手できますか？

公式アドバイザリは、ライブラリのGitHubリポジトリまたは関連するセキュリティ情報源で確認してください。

プラットフォーム

python

コンポーネント

rfc3161-client

修正版

1.0.7

1.0.6

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-33753は、Pythonライブラリrfc3161-clientにおける認証バイパス脆弱性です。この脆弱性を悪用されると、攻撃者は信頼されたタイムスタンプ認証局（TSA）になりすますことが可能になります。影響を受けるバージョンは1.0.5以前であり、1.0.6にアップデートすることでこの問題を解決できます。

影響と攻撃シナリオ

この脆弱性は、攻撃者がPKCS#7証明書バッグからリーフ証明書を抽出する際のロジックエラーを悪用し、任意の攻撃者が信頼されたTSAになりすますことを可能にします。攻撃者は、ターゲットのcommon_nameと拡張キー使用法（EKU）要件に一致する偽造証明書を付加することで、ライブラリを騙し、実際の信頼されたTSAに対する暗号学的署名を検証しながら、偽造証明書に対して認証ルールを検証させることができます。これにより、攻撃者はタイムスタンプサービスを不正に使用し、データの真正性を偽装する可能性があります。この攻撃は、デジタル署名やタイムスタンプに依存するアプリケーションに深刻な影響を与える可能性があります。

悪用の状況

CVE-2026-33753は、2026年4月8日に公開されました。現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、認証バイパスの性質上、悪用される可能性はあります。CISA KEVカタログへの登録状況は不明です。この脆弱性は、タイムスタンプサービスに依存するアプリケーションのセキュリティを脅かす可能性があります。

リスク対象者翻訳中…

Applications and systems relying on rfc3161-client for time stamping services are at risk. This includes systems involved in digital signatures, code signing, and any process requiring verifiable timestamps for regulatory compliance or data integrity. Specifically, organizations using custom integrations with time stamping authorities are particularly vulnerable.

検出手順翻訳中…

• python / library:

import rfc3161
import hashlib

def check_rfc3161_version():
    try:
        import rfc3161
        print(f"rfc3161-client version: {rfc3161.__version__}")
        if rfc3161.__version__ <= '1.0.5':
            print("WARNING: Vulnerable to CVE-2026-33753")
        else:
            print("rfc3161-client is patched.")
    except ImportError:
        print("rfc3161-client is not installed.")

check_rfc3161_version()

攻撃タイムライン

2026-04-08Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出低

レポート1 脅威レポート

EPSS

0.00% (0% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントrfc3161-client

ベンダーosv

影響範囲修正版

< 1.0.6 – < 1.0.61.0.7

—1.0.6

弱点分類 (CWE)

CWE-295

タイムライン

予約済み2026-03-23
公開日2026-04-08
EPSS 更新日2026-04-16

公開後1日でパッチ適用

緩和策と回避策

この脆弱性への最善の対応は、rfc3161-clientをバージョン1.0.6にアップデートすることです。アップデートが利用できない場合、一時的な回避策として、入力検証を強化し、信頼できないソースからの証明書を拒否するようにアプリケーションを構成することを検討してください。また、WAF（Web Application Firewall）を使用して、悪意のある証明書を検出およびブロックすることも有効です。アップデート後、署名検証プロセスが正しく機能していることを確認してください。

修正方法

rfc3161-client ライブラリをバージョン 1.0.6 以降にアップデートして、認証バイパスの脆弱性を修正してください。このバージョンでは、より堅牢な証明書検証を実装しており、タイムスタンプの偽造および不正な証明書の使用を防ぎます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-33753 — 認証バイパスはrfc3161-clientで何ですか？

CVE-2026-33753は、Pythonライブラリrfc3161-clientの署名検証における認証バイパス脆弱性であり、攻撃者が信頼されたタイムスタンプ認証局（TSA）になりすますことを可能にします。

CVE-2026-33753でrfc3161-clientを使用しています。影響を受けますか？

はい、バージョン1.0.5以前のrfc3161-clientを使用している場合は、この脆弱性の影響を受けます。

CVE-2026-33753でrfc3161-clientを修正するにはどうすればよいですか？

rfc3161-clientをバージョン1.0.6にアップデートしてください。アップデートが利用できない場合は、入力検証を強化することを検討してください。

CVE-2026-33753は積極的に悪用されていますか？