Platform
python
Component
rfc3161-client
Opgelost in
1.0.7
1.0.6
CVE-2026-33753 beschrijft een Authorization Bypass kwetsbaarheid in de rfc3161-client bibliotheek. Deze kwetsbaarheid stelt aanvallers in staat om een vertrouwde TimeStamping Authority (TSA) te imiteren, wat kan leiden tot ongeautoriseerde acties. De kwetsbaarheid treft versies van rfc3161-client tot en met 1.0.5. Een fix is beschikbaar in versie 1.0.6.
Een succesvolle exploitatie van deze kwetsbaarheid stelt een aanvaller in staat om een vertrouwde TSA te nabootsen. Dit betekent dat de aanvaller digitale handtekeningen kan valideren met een gespoofd certificaat, waardoor de integriteit van de handtekening in twijfel wordt getrokken. De impact kan aanzienlijk zijn, omdat het de vertrouwelijkheid en integriteit van data die afhankelijk is van de tijdstempels kan compromitteren. Dit kan leiden tot het manipuleren van data, het uitvoeren van kwaadaardige acties in de naam van de TSA, en het ondermijnen van de beveiliging van systemen die afhankelijk zijn van de tijdstempels. De kwetsbaarheid is vergelijkbaar met scenario's waarbij certificaten worden gemanipuleerd om ongeautoriseerde toegang te verkrijgen.
De kwetsbaarheid is openbaar bekend gemaakt op 2026-04-08. Er is momenteel geen informatie beschikbaar over actieve exploitatiecampagnes. Er zijn geen publieke proof-of-concept exploits bekend. De ernst van de kwetsbaarheid is beoordeeld als MEDIUM (CVSS 6.2).
Applications and systems relying on rfc3161-client for time stamping services are at risk. This includes systems involved in digital signatures, code signing, and any process requiring verifiable timestamps for regulatory compliance or data integrity. Specifically, organizations using custom integrations with time stamping authorities are particularly vulnerable.
• python / library:
import rfc3161
import hashlib
def check_rfc3161_version():
try:
import rfc3161
print(f"rfc3161-client version: {rfc3161.__version__}")
if rfc3161.__version__ <= '1.0.5':
print("WARNING: Vulnerable to CVE-2026-33753")
else:
print("rfc3161-client is patched.")
except ImportError:
print("rfc3161-client is not installed.")
check_rfc3161_version()disclosure
Exploit Status
EPSS
0.00% (0% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar versie 1.0.6 van de rfc3161-client bibliotheek. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van extra validatiestappen in de applicatie die de bibliotheek gebruikt. Controleer de certificaten die door de TSA worden verstrekt op hun geldigheid en herkomst. Implementeer WAF-regels die verdachte certificaatverificatiepogingen detecteren en blokkeren. Het is belangrijk om te verifiëren dat de certificaten die worden gebruikt overeenkomen met de verwachte EKU en common_name. Na de upgrade, bevestig de correcte werking door een tijdstempeling te testen met een vertrouwde TSA en controleer de certificaatvalidatie.
Actualiseer de rfc3161-client bibliotheek naar versie 1.0.6 of hoger om de authorization bypass kwetsbaarheid te verhelpen. Deze versie implementeert een robuustere certificaatvalidatie, waardoor manipulatie en het gebruik van vervalste certificaten voor time stamping wordt voorkomen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-33753 is een kwetsbaarheid in de rfc3161-client bibliotheek die het mogelijk maakt voor aanvallers een vertrouwde TimeStamping Authority (TSA) te imiteren.
U bent getroffen als u versie 1.0.5 of lager van de rfc3161-client bibliotheek gebruikt.
Upgrade naar versie 1.0.6 van de rfc3161-client bibliotheek.
Op dit moment is er geen informatie beschikbaar over actieve exploitatiecampagnes.
Raadpleeg de relevante documentatie en aankondigingen van de rfc3161-client project.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.