Plataforma
python
Componente
rfc3161-client
Corrigido em
1.0.7
1.0.6
Uma vulnerabilidade de Bypass de Autorização foi descoberta na biblioteca rfc3161-client, afetando versões até 1.0.5. Essa falha permite que um atacante se passe por uma Autoridade de Carimbo de Tempo (TSA) confiável, comprometendo a integridade das operações de carimbo de tempo. A vulnerabilidade foi publicada em 8 de abril de 2026 e uma correção está disponível na versão 1.0.6.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante crie certificados falsos que são aceitos pela biblioteca rfc3161-client como válidos. Isso ocorre devido a uma falha na lógica de extração do certificado folha de um saco PKCS#7 desordenado. O atacante pode então anexar um certificado falsificado que corresponda aos requisitos de nome comum e Uso Estendido de Chave (EKU) do alvo, enganando a biblioteca a verificar as regras de autorização contra o certificado forjado. O impacto é a perda de confiança nos carimbos de tempo, podendo levar a fraudes e manipulação de dados. A vulnerabilidade se assemelha a cenários onde a validação de certificados é comprometida, permitindo a execução de ações com privilégios elevados.
A vulnerabilidade foi divulgada publicamente em 8 de abril de 2026. A probabilidade de exploração é considerada média, dada a complexidade da exploração e a necessidade de conhecimento especializado em PKCS#7 e carimbos de tempo. Não há evidências de exploração ativa em campanhas conhecidas no momento da publicação. A vulnerabilidade não está listada no KEV (CISA Known Exploited Vulnerabilities) até o momento.
Applications and systems relying on rfc3161-client for time stamping services are at risk. This includes systems involved in digital signatures, code signing, and any process requiring verifiable timestamps for regulatory compliance or data integrity. Specifically, organizations using custom integrations with time stamping authorities are particularly vulnerable.
• python / library:
import rfc3161
import hashlib
def check_rfc3161_version():
try:
import rfc3161
print(f"rfc3161-client version: {rfc3161.__version__}")
if rfc3161.__version__ <= '1.0.5':
print("WARNING: Vulnerable to CVE-2026-33753")
else:
print("rfc3161-client is patched.")
except ImportError:
print("rfc3161-client is not installed.")
check_rfc3161_version()disclosure
Status do Exploit
EPSS
0.00% (percentil 0%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar a biblioteca rfc3161-client para a versão 1.0.6 ou superior, que corrige a falha de bypass de autorização. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como a validação manual dos certificados recebidos de TSAs, mesmo após a verificação pela biblioteca. Além disso, revise as configurações de segurança do seu sistema para garantir que apenas TSAs confiáveis sejam permitidas. Após a atualização, confirme a correção verificando se a biblioteca está utilizando a versão corrigida e realizando testes de carimbo de tempo para garantir que a validação de certificados esteja funcionando corretamente.
Atualize a biblioteca (rfc3161-client) para a versão 1.0.6 ou superior para corrigir a vulnerabilidade de bypass de autorização. Esta versão implementa uma validação mais robusta dos certificados, prevenindo a manipulação e o uso de certificados falsificados para o selo de tempo.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-33753 é uma vulnerabilidade de bypass de autorização na biblioteca rfc3161-client que permite a um atacante se passar por uma TSA confiável.
Se você estiver utilizando uma versão da biblioteca rfc3161-client inferior ou igual a 1.0.5, você está afetado por esta vulnerabilidade.
A correção é atualizar a biblioteca rfc3161-client para a versão 1.0.6 ou superior.
Até o momento, não há evidências de exploração ativa em campanhas conhecidas, mas a probabilidade de exploração é considerada média.
Consulte o repositório oficial da biblioteca rfc3161-client no GitHub para obter informações e atualizações sobre a vulnerabilidade.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.