Plattform
python
Komponente
scitokens
Behoben in
1.9.8
CVE-2026-32727 describes a Path Traversal vulnerability discovered in SciTokens, a reference library for generating and using SciTokens. This flaw allows attackers to bypass intended directory restrictions by injecting dot-dot (..) sequences into the token's scope claim. The vulnerability impacts versions of SciTokens up to and including 1.9.7, and a patch is available in version 1.9.7.
CVE-2026-32727 in SciTokens betrifft die Enforcer-Bibliothek und ermöglicht einen Pfad-Traversal-Angriff. Vor Version 1.9.7 konnte ein Angreifer die 'scope'-Ansprüche eines SciTokens manipulieren, indem er '..' Sequenzen verwendete, um beabsichtigte Verzeichnisbeschränkungen zu umgehen. Dies liegt daran, dass die Bibliothek sowohl den autorisierten Pfad (aus dem Token) als auch den angeforderten Pfad (aus der Anwendung) normalisiert, bevor sie diese mit 'startswith' vergleicht. Wenn eine Anwendung SciTokens verwendet, um den Zugriff auf Ressourcen basierend auf Pfaden zu steuern, könnte diese Schwachstelle einem Angreifer ermöglichen, unautorisierte Dateien oder Verzeichnisse zu erreichen, wodurch die Sicherheit der Anwendung und der zugrunde liegenden Daten gefährdet werden. Die Schwere wird mit CVSS 8.1 bewertet, was ein moderates Risiko anzeigt.
Ein Angreifer könnte diese Schwachstelle ausnutzen, wenn er Zugriff auf ein gültiges SciToken hat (auch wenn er nicht unbedingt die richtigen Berechtigungen hat). Durch die Manipulation der 'scope'-Ansprüche des Tokens, um '..' Sequenzen einzuschließen, die auf Verzeichnisse außerhalb des vorgesehenen Bereichs verweisen, könnte der Angreifer den Enforcer dazu bringen, den Zugriff auf diese Ressourcen zu erlauben. Der Schwierigkeitsgrad der Ausnutzung hängt von der Komplexität der Anwendung und der Verfügbarkeit gültiger Token ab. Die Ausnutzung ist wahrscheinlicher in Umgebungen, in denen Token ohne ordnungsgemäße Validierung generiert und verteilt werden.
Applications that rely on SciTokens for authentication and authorization, particularly those that handle user-supplied data in the scope claim, are at risk. This includes applications with custom authentication flows or those integrating SciTokens into legacy systems. Shared hosting environments where multiple applications share the same server and file system are also at increased risk.
• python / library: Inspect SciTokens library versions in your Python projects.
pip show scitokens• python / library: Check for usage of SciTokens with potentially untrusted scope claims in your application code. • generic web: Monitor application logs for unusual file access patterns or errors related to file paths. • generic web: Implement input validation on the application side to sanitize the scope claim before processing it.
disclosure
Exploit-Status
EPSS
0.05% (15% Perzentil)
CISA SSVC
CVSS-Vektor
Die Lösung für diese Schwachstelle besteht darin, auf Version 1.9.7 oder höher der SciTokens-Bibliothek zu aktualisieren. Diese Version korrigiert, wie Pfade behandelt werden, und verhindert so die Möglichkeit eines Pfad-Traversal-Angriffs. Es wird empfohlen, dieses Update so schnell wie möglich durchzuführen, um das Risiko zu mindern. Überprüfen Sie außerdem den Anwendungscode, der SciTokens verwendet, um sicherzustellen, dass es keine anderen Schwachstellen im Zusammenhang mit der Pfadverarbeitung und der Eingabevalidierung gibt. Die Implementierung einer robusten Eingabevalidierung, einschließlich der Validierung von Token-Ansprüchen, ist eine allgemeine Sicherheitsempfehlung.
Actualice la biblioteca SciTokens a la versión 1.9.7 o superior. Esta versión corrige la vulnerabilidad de path traversal en la validación del scope. La actualización evitará que atacantes puedan eludir las restricciones de directorio previstas mediante el uso de 'dot-dot (..)' en el scope del token.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
SciTokens ist eine Referenzbibliothek zum Generieren und Verwenden von SciTokens, die für Autorisierung und Zugriffskontrolle in Anwendungen verwendet werden.
Das Update auf Version 1.9.7 behebt eine Pfad-Traversal-Schwachstelle, die es Angreifern ermöglichen könnte, auf nicht autorisierte Ressourcen zuzugreifen.
Sie können Ihre SciTokens-Version überprüfen, indem Sie die Datei setup.py oder package.json Ihres Projekts überprüfen, je nachdem, wie Sie die Bibliothek installiert haben.
Als vorübergehende Maßnahme sollten Sie eine zusätzliche Pfadvalidierung in Ihrer Anwendung implementieren, um den Zugriff auf nicht autorisierte Verzeichnisse zu verhindern.
Sie finden weitere Informationen über SciTokens und diese Schwachstelle in der offiziellen SciTokens-Dokumentation und in Vulnerabilitätsdatenbanken wie CVE.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine requirements.txt-Datei hoch und wir sagen dir sofort, ob du betroffen bist.