CVE-2026-33753 in rfc3161-clientИнформация

Сводка

по VulDB • 24.05.2026

rfc3161-client — это библиотека Python, реализующая Протокол временных меток (TSP), описанный в RFC 3161. Версии rfc3161-client до 1.0.6 уязвимы к обходу авторизации (Authorization Bypass) при проверке подписи, что позволяет любому злоумышленнику выдать себя за доверенный орган выдачи временных меток (TSA). Используя логическую ошибку в механизме извлечения корневого сертификата из неупорядоченного набора сертификатов PKCS#7, злоумышленник может добавить поддельный сертификат, соответствующий требуемому общему имени (common_name) и требованиям расширенного использования ключа (EKU). Это заставляет библиотеку проверять правила авторизации на основе поддельного сертификата, в то время как криптографическая подпись проверяется против реального доверенного TSA (например, FreeTSA), что позволяет полностью обойти предусмотренное привязывание к TSA. Уязвимость исправлена в версии 1.0.6.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Ответственный

GitHub M

Резервировать

23.03.2026

Раскрытие

08.04.2026

Модерация

принято

Вход

VDB-356264

EPSS

0.00188

KEV

Нет

Деятельности

Очень низкий

Источники

Want to stay up to date on a daily basis?

Enable the mail alert feature now!