平台
python
组件
rfc3161-client
修复版本
1.0.7
1.0.6
CVE-2026-33753 是 rfc3161-client 库中的授权绕过漏洞。该漏洞允许攻击者通过伪造证书,冒充可信的时间戳机构 (TSA),从而进行欺骗性操作。此漏洞影响版本小于或等于 1.0.5 的用户。已发布修复版本 1.0.6。
攻击者可以利用此漏洞伪造时间戳证书,使其看起来像是来自可信的 TSA。由于 rfc3161-client 在验证证书时存在逻辑缺陷,攻击者可以构造包含伪造证书的 PKCS#7 包,并将其与目标 common_name 和扩展密钥用途 (EKU) 要求匹配。 库会错误地将这些授权规则应用于伪造证书,同时仍然对加密签名进行验证,从而绕过正常的安全检查。 这可能导致攻击者在依赖时间戳验证的应用程序中执行恶意操作,例如篡改数字签名或伪造交易记录。 攻击的影响范围取决于使用该库的应用程序的安全性,如果应用程序对时间戳的验证不严格,则风险更高。
该漏洞已公开披露,且存在潜在的利用风险。目前尚未观察到大规模的利用活动,但由于该漏洞允许攻击者冒充可信的 TSA,因此可能被用于针对特定行业的攻击。 建议密切关注安全社区的动态,并及时采取缓解措施。 该漏洞尚未被添加到 CISA KEV 目录。
Applications and systems relying on rfc3161-client for time stamping services are at risk. This includes systems involved in digital signatures, code signing, and any process requiring verifiable timestamps for regulatory compliance or data integrity. Specifically, organizations using custom integrations with time stamping authorities are particularly vulnerable.
• python / library:
import rfc3161
import hashlib
def check_rfc3161_version():
try:
import rfc3161
print(f"rfc3161-client version: {rfc3161.__version__}")
if rfc3161.__version__ <= '1.0.5':
print("WARNING: Vulnerable to CVE-2026-33753")
else:
print("rfc3161-client is patched.")
except ImportError:
print("rfc3161-client is not installed.")
check_rfc3161_version()disclosure
漏洞利用状态
EPSS
0.00% (0% 百分位)
CISA SSVC
最有效的缓解措施是立即升级到 rfc3161-client 的 1.0.6 版本或更高版本。 如果升级不可行,可以考虑以下临时缓解措施:严格验证时间戳证书的颁发者,确保证书来自可信的 TSA。 实施额外的验证层,例如检查证书的撤销状态。 监控系统日志,查找任何异常的时间戳请求或证书验证失败。 暂时禁用依赖于时间戳验证的功能,直到可以安全地升级或实施其他缓解措施。
将 rfc3161-client 库更新到 1.0.6 或更高版本以修复授权绕过漏洞。此版本实现了更强大的证书验证,可以防止使用伪造的证书进行时间戳操作。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-33753 是 rfc3161-client 库中的一个授权绕过漏洞,允许攻击者伪造时间戳证书,冒充可信的时间戳机构 (TSA)。
如果您的应用程序使用 rfc3161-client 库的版本小于或等于 1.0.5,则可能受到此漏洞的影响。
升级到 rfc3161-client 的 1.0.6 版本或更高版本以修复此漏洞。
目前尚未观察到大规模的利用活动,但由于该漏洞允许攻击者冒充可信的 TSA,因此存在潜在的利用风险。
请查阅 rfc3161-client 的官方 GitHub 仓库或相关安全公告以获取更多信息。
CVSS 向量
上传你的 requirements.txt 文件,立即知道是否受影响。