Plateforme
python
Composant
scitokens
Corrigé dans
1.9.7
1.9.6
La vulnérabilité CVE-2026-32714 est une injection SQL critique découverte dans la bibliothèque Python scitokens. Elle permet à un attaquant d'exécuter des commandes SQL arbitraires sur la base de données SQLite locale, compromettant potentiellement les données sensibles stockées. Cette faille affecte les versions de scitokens inférieures ou égales à 1.8.1. Une version corrigée, 1.9.6, est désormais disponible.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'accéder, de modifier ou de supprimer des données stockées dans la base de données SQLite de scitokens. L'attaquant pourrait compromettre les informations d'identification, les clés de chiffrement ou d'autres données sensibles utilisées par l'application. En fonction de la configuration et de l'utilisation de scitokens, cela pourrait entraîner une fuite de données importante, une perte d'intégrité des données ou même une prise de contrôle du système. Bien que la base de données soit locale, une compromission de l'environnement d'exécution de scitokens pourrait permettre à un attaquant d'obtenir un accès non autorisé à des informations sensibles.
La vulnérabilité a été publiquement divulguée le 2026-03-31. Un proof-of-concept (POC) est disponible, ce qui augmente le risque d'exploitation. La sévérité critique (CVSS 9.8) indique une probabilité d'exploitation élevée. Il n'y a pas d'indications d'une campagne d'exploitation active à ce jour, mais la disponibilité du POC rend la vulnérabilité attrayante pour les attaquants.
Applications that rely on the scitokens library for authentication or authorization, particularly those using SQLite as their database backend, are at risk. Systems with older, unpatched versions of scitokens are especially vulnerable. Development environments and testing systems using scitokens should also be prioritized for patching.
• python / library:
import os
import sqlite3
def check_scitokens_version():
try:
import scitokens
version = scitokens.__version__
if version <= '1.8.1':
print(f"scitokens version is vulnerable: {version}")
else:
print(f"scitokens version is patched: {version}")
except ImportError:
print("scitokens is not installed.")
check_scitokens_version()• python / file: Examine src/scitokens/utils/keycache.py for instances of str.format() used with user-supplied data in SQL queries.
• generic web: Monitor application logs for unusual SQL errors or database activity that might indicate an attempted SQL Injection attack.
disclosure
poc
patch
Statut de l'Exploit
EPSS
0.03% (percentile 10%)
CISA SSVC
Vecteur CVSS
La solution la plus efficace est de mettre à jour scitokens vers la version 1.9.6 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures d'atténuation peuvent être mises en œuvre. Il est crucial de valider et d'échapper toutes les entrées utilisateur avant de les utiliser dans les requêtes SQL. L'utilisation de requêtes paramétrées ou d'ORM (Object-Relational Mapper) peut aider à prévenir les injections SQL. Surveillez les journaux d'accès et d'erreurs pour détecter toute activité suspecte. Après la mise à jour, vérifiez l'intégrité de la base de données et assurez-vous que les données sensibles sont toujours protégées.
Mettez à jour la bibliothèque SciTokens à la version 1.9.6 ou supérieure. Cela corrige la vulnérabilité d'Injeção SQL (SQL Injection) en utilisant str.format() pour construire des requêtes SQL avec des données fournies par l'utilisateur.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-32714 is a critical SQL Injection vulnerability in the scitokens Python library, allowing attackers to execute arbitrary SQL commands against the local SQLite database.
You are affected if you are using scitokens versions 1.8.1 or earlier. Upgrade to version 1.9.6 or later to resolve the vulnerability.
Upgrade to version 1.9.6 or later of the scitokens library. As a temporary workaround, implement input validation and sanitization for the issuer and key_id parameters.
While active exploitation is not confirmed, the vulnerability is considered highly exploitable and a public proof-of-concept exists, increasing the likelihood of exploitation.
Refer to the scitokens project's official security advisories and release notes for details: [https://github.com/scitokens/scitokens/releases](https://github.com/scitokens/scitokens/releases)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.