Plateforme
python
Composant
scitokens
Corrigé dans
1.9.7
1.9.6
La CVE-2026-32716 décrit une vulnérabilité de contournement d'autorisation dans la bibliothèque scitokens. L'implémentation incorrecte de la validation des chemins d'accès permet à un token d'accéder à des ressources non autorisées, élargissant indûment son périmètre d'action. Cette faille affecte les versions de scitokens inférieures ou égales à 1.8.1. La version 1.9.6 corrige ce problème.
La vulnérabilité CVE-2026-32716 dans Scitokens permet un contournement de l'autorisation en raison d'une validation incorrecte des chemins d'étendue (scope paths). Le composant Enforcer utilise une simple correspondance de préfixe (startswith) pour valider ces étendues. Cela signifie qu'un jeton ayant accès à un chemin spécifique (par exemple, /john) peut accéder à des chemins frères partageant le même préfixe (par exemple, /johnathan, /johnny). Cette défaillance dans la validation des étendues permet à un attaquant d'accéder à des ressources non autorisées, compromettant la sécurité de l'application.
Un attaquant pourrait exploiter cette vulnérabilité en créant un jeton ayant accès à un chemin spécifique, puis en l'utilisant pour accéder à d'autres chemins partageant le même préfixe. Cela pourrait permettre à l'attaquant d'accéder à des données sensibles ou d'effectuer des actions non autorisées. Le risque est plus élevé dans les environnements où les étendues sont utilisées pour contrôler l'accès aux ressources sensibles.
Applications and services that rely on SciTokens for authentication and authorization, particularly those with complex or hierarchical scope structures, are at risk. Shared hosting environments where multiple applications share the same SciTokens instance are also particularly vulnerable, as a compromise in one application could potentially impact others.
• python / application: Examine application logs for unusual access patterns or requests to sibling paths after authentication.
• python / application: Review SciTokens configuration files for overly permissive scope definitions.
• python / application: Monitor for modifications to src/scitokens/scitokens.py file, specifically the validatescp and validatescope methods.
import os
import hashlib
def check_scitokens_version():
try:
import scitokens
version = scitokens.__version__
print(f"SciTokens version: {version}")
if version <= '1.8.1':
print("WARNING: Vulnerable to CVE-2026-32716. Upgrade recommended.")
else:
print("SciTokens version is up to date.")
except ImportError:
print("SciTokens is not installed.")
check_scitokens_version()disclosure
patch
Statut de l'Exploit
EPSS
0.03% (percentile 9%)
CISA SSVC
Vecteur CVSS
Pour atténuer cette vulnérabilité, mettez à niveau Scitokens vers la version 1.9.6 ou supérieure. Cette version corrige le problème en mettant en œuvre une validation d'étendue plus stricte. Assurez-vous de consulter la documentation de Scitokens pour obtenir des instructions détaillées sur la façon de mettre à niveau et de vérifier la bonne implémentation de la correction. De plus, examinez vos configurations Scitokens pour vous assurer que les étendues sont définies de la manière la plus restrictive possible, limitant l'accès uniquement aux ressources nécessaires.
Actualice la biblioteca SciTokens a la versión 1.9.6 o superior. Esta versión corrige la validación incorrecta de las rutas de alcance, evitando el bypass de autorización. Puede actualizar usando el gestor de paquetes de Python (pip).
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Une étendue définit l'ensemble des ressources auxquelles un jeton a accès. Elle est utilisée pour contrôler l'accès aux données et aux fonctionnalités au sein d'une application.
La validation des étendues est essentielle pour garantir que les jetons n'ont accès qu'aux ressources auxquelles ils sont autorisés à accéder. Une validation incorrecte peut entraîner un contournement de l'autorisation et un accès non autorisé.
Si vous ne pouvez pas mettre à niveau immédiatement, envisagez de mettre en œuvre des mesures d'atténuation supplémentaires, telles que la restriction de l'accès aux ressources les plus sensibles et la surveillance de l'activité du jeton à la recherche de schémas suspects.
Après la mise à niveau, testez minutieusement votre application pour vous assurer que la validation des étendues fonctionne comme prévu. Examinez les journaux d'audit pour détecter toute activité inhabituelle.
La mise à niveau vers la version 1.9.6 peut avoir un impact minimal sur les performances, mais il est prévu qu'il soit négligeable dans la plupart des cas. Des tests de performance sont recommandés après la mise à niveau.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.