Scanner gratuitement
HIGHCVE-2026-32727CVSS 8.1

SciTokens : Contournement d’autorisation via une traversée de chemin dans la validation de la portée

Plateforme

python

Composant

scitokens

Corrigé dans

1.9.8

AI Confidence: highNVDEPSS 0.0%Révisé: mai 2026
Voir sur NVD
Sauvegarder

CVE-2026-32727 est une vulnérabilité de type Path Traversal affectant la bibliothèque SciTokens. Elle permet à un attaquant d'utiliser la séquence '..' dans la revendication de portée d'un token pour échapper aux restrictions de répertoire prévues. Cette vulnérabilité affecte les versions inférieures à 1.9.7. La version 1.9.7 corrige ce problème.

Python

Détecte cette CVE dans ton projet

Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.

Téléverser requirements.txtFormats supportés: requirements.txt · Pipfile.lock

Impact et Scénarios d'Attaque

La vulnérabilité CVE-2026-32727 dans SciTokens affecte la bibliothèque Enforcer, permettant une attaque de traversée de chemin (path traversal). Avant la version 1.9.7, un attaquant pouvait manipuler la revendication 'scope' d'un SciToken en utilisant des séquences '..' pour échapper aux restrictions de répertoire prévues. Cela est dû au fait que la bibliothèque normalise à la fois le chemin autorisé (à partir du jeton) et le chemin demandé (à partir de l'application) avant de les comparer à l'aide de 'startswith'. Si une application utilise SciTokens pour contrôler l'accès aux ressources en fonction des chemins, cette vulnérabilité pourrait permettre à un attaquant d'accéder à des fichiers ou répertoires non autorisés, compromettant la sécurité de l'application et les données sous-jacentes. La sévérité est classée comme CVSS 8.1, indiquant un risque modéré.

Contexte d'Exploitation

Un attaquant pourrait exploiter cette vulnérabilité s'il a accès à un SciToken valide (même s'il ne dispose pas nécessairement des autorisations correctes). En modifiant la revendication 'scope' du jeton pour inclure des séquences '..' qui pointent vers des répertoires en dehors de la portée prévue, l'attaquant pourrait tromper l'Enforcer pour qu'il autorise l'accès à ces ressources. La difficulté d'exploitation dépend de la complexité de l'application et de la disponibilité de jetons valides. L'exploitation est plus probable dans les environnements où les jetons sont générés et distribués sans validation appropriée.

Qui Est à Risquetraduction en cours…

Applications that rely on SciTokens for authentication and authorization, particularly those that handle user-supplied data in the scope claim, are at risk. This includes applications with custom authentication flows or those integrating SciTokens into legacy systems. Shared hosting environments where multiple applications share the same server and file system are also at increased risk.

Étapes de Détectiontraduction en cours…

• python / library: Inspect SciTokens library versions in your Python projects.

pip show scitokens

• python / library: Check for usage of SciTokens with potentially untrusted scope claims in your application code. • generic web: Monitor application logs for unusual file access patterns or errors related to file paths. • generic web: Implement input validation on the application side to sanitize the scope claim before processing it.

Chronologie de l'Attaque

  1. Disclosure

    disclosure

Renseignement sur les Menaces

Statut de l'Exploit

Preuve de ConceptInconnu
CISA KEVNO
Exposition InternetÉlevée
Rapports1 rapport de menace

EPSS

0.05% (percentile 15%)

CISA SSVC

Exploitationpoc
Automatisableno
Impact Techniquetotal

Vecteur CVSS

RENSEIGNEMENT SUR LES MENACES· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N8.1HIGHAttack VectorNetworkComment l'attaquant atteint la cibleAttack ComplexityLowConditions requises pour exploiterPrivileges RequiredLowNiveau d'authentification requisUser InteractionNoneSi une action de la victime est requiseScopeUnchangedImpact au-delà du composant affectéConfidentialityHighRisque d'exposition de données sensiblesIntegrityHighRisque de modification non autorisée de donnéesAvailabilityNoneRisque d'interruption de servicenextguardhq.com · Score de base CVSS v3.1
Que signifient ces métriques?
Attack Vector
Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
Attack Complexity
Faible — aucune condition spéciale requise. Exploitable de manière fiable.
Privileges Required
Faible — tout compte utilisateur valide est suffisant.
User Interaction
Aucune — attaque automatique et silencieuse. La victime ne fait rien.
Scope
Inchangé — impact limité au composant vulnérable.
Confidentiality
Élevé — perte totale de confidentialité. L'attaquant peut lire toutes les données.
Integrity
Élevé — l'attaquant peut écrire, modifier ou supprimer toutes les données.
Availability
Aucun — aucun impact sur la disponibilité.

Logiciel Affecté

Composantscitokens
Fournisseurscitokens
Plage affectéeCorrigé dans
< 1.9.7 – < 1.9.71.9.8

Classification de Faiblesse (CWE)

CWE-22

Chronologie

  1. Réservé
  2. Publiée
  3. Modifiée
  4. EPSS mis à jour
Corrigé -17 jours après la divulgation

Mitigation et Contournements

La solution à cette vulnérabilité consiste à mettre à niveau vers la version 1.9.7 ou ultérieure de la bibliothèque SciTokens. Cette version corrige la façon dont les chemins sont gérés, empêchant ainsi la possibilité de traversée de chemin. Il est recommandé d'effectuer cette mise à niveau dès que possible pour atténuer le risque. De plus, examinez le code de l'application qui utilise SciTokens pour vous assurer qu'il n'y a pas d'autres vulnérabilités liées à la gestion des chemins et à la validation des entrées. La mise en œuvre d'une validation robuste des entrées utilisateur, y compris la validation des revendications des jetons, est une bonne pratique de sécurité générale.

Comment corrigertraduction en cours…

Actualice la biblioteca SciTokens a la versión 1.9.7 o superior. Esta versión corrige la vulnerabilidad de path traversal en la validación del scope. La actualización evitará que atacantes puedan eludir las restricciones de directorio previstas mediante el uso de 'dot-dot (..)' en el scope del token.

Newsletter Sécurité CVE

Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.

Questions fréquentes

Qu'est-ce que CVE-2026-32727 — Path Traversal dans SciTokens ?

SciTokens est une bibliothèque de référence pour générer et utiliser des SciTokens, utilisés pour l'autorisation et le contrôle d'accès dans les applications.

Suis-je affecté(e) par CVE-2026-32727 dans SciTokens ?

La mise à niveau vers la version 1.9.7 corrige une vulnérabilité de traversée de chemin qui pourrait permettre aux attaquants d'accéder à des ressources non autorisées.

Comment corriger CVE-2026-32727 dans SciTokens ?

Vous pouvez vérifier votre version de SciTokens en consultant le fichier setup.py ou package.json de votre projet, en fonction de la façon dont vous avez installé la bibliothèque.

CVE-2026-32727 est-il activement exploité ?

En tant que mesure temporaire, envisagez de mettre en œuvre une validation supplémentaire des chemins dans votre application pour empêcher l'accès à des répertoires non autorisés.

Où trouver l'avis officiel de SciTokens pour CVE-2026-32727 ?

Vous pouvez trouver plus d'informations sur SciTokens et cette vulnérabilité dans la documentation officielle de SciTokens et les bases de données de vulnérabilités comme CVE.

Ton projet est-il affecté ?

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitementRechercher des CVE