Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en rfc3161-client (CVE-2025-52556)

Gravedad CVSS v4.0:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
21/06/2025
Última modificación:
23/06/2025

Descripción

rfc3161-client es una librería de Python que implementa el Protocolo de Marca de Tiempo (TSP) descrito en el RFC 3161. En versiones anteriores a la 1.0.3, existía una falla en la lógica de verificación de firma de la respuesta de marca de tiempo. En particular, la verificación en cadena se realiza con los certificados integrados del TSR hasta la raíz de confianza, pero no verifica la propia firma del TSR con los certificados hoja de marca de tiempo. Por consiguiente, las versiones vulnerables realizan una validación de firma insuficiente para considerar correctamente un TSR verificado, ya que el atacante puede introducir cualquier firma del TSR siempre que la hoja integrada se encadene hasta algún TSA raíz. Este problema se ha corregido en la versión 1.0.3. No existe una solución alternativa.

Impacto

Vector 4.0
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 9.30 CRÍTICA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Ninguno
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0
9.30
Gravedad 4.0
CRÍTICA

Referencias a soluciones, herramientas e información