SciTokens KeyCache में SQL इंजेक्शन (SQL Injection) के लिए असुरक्षित

scitokens में CVE-2026-32714 एक महत्वपूर्ण SQL इंजेक्शन जोखिम प्रस्तुत करता है। src/scitokens/utils/keycache.py में कमजोर कोड Python के str.format() फ़ंक्शन का उपयोग करके SQL क्वेरी बनाता है, जिसमें issuer और key_id जैसे उपयोगकर्ता-प्रदत्त डेटा शामिल होता है। यह अभ्यास एक हमलावर को क्वेरी में दुर्भावनापूर्ण SQL कोड इंजेक्ट करने की अनुमति देता है, जिसके परिणामस्वरूप स्थानीय SQLite डेटाबेस पर मनमाना कमांड निष्पादित हो सकता है। संभावित प्रभाव में डेटा हानि, डेटा संशोधन, सेवा से इनकार और कुछ मामलों में संवेदनशील जानकारी तक अनधिकृत पहुंच शामिल है। संस्करण 1.9.6 इस भेद्यता को संबोधित करता है, इसलिए तत्काल अपडेट करने की सिफारिश की जाती है।

Applications that rely on the scitokens library for authentication or authorization, particularly those using SQLite as their database backend, are at risk. Systems with older, unpatched versions of scitokens are especially vulnerable. Development environments and testing systems using scitokens should also be prioritized for patching.

• python / library:

import os
import sqlite3

def check_scitokens_version():
    try:
        import scitokens
        version = scitokens.__version__
        if version <= '1.8.1':
            print(f"scitokens version is vulnerable: {version}")
        else:
            print(f"scitokens version is patched: {version}")
    except ImportError:
        print("scitokens is not installed.")

check_scitokens_version()

• python / file: Examine src/scitokens/utils/keycache.py for instances of str.format() used with user-supplied data in SQL queries. • generic web: Monitor application logs for unusual SQL errors or database activity that might indicate an attempted SQL Injection attack.

1. 2026-03-31Disclosure

   disclosure

2. 2026-03-31PoC

   poc

3. 2026-03-31Patch

   patch

1. आरक्षित2026-03-13
2. प्रकाशित2026-03-31
3. EPSS अद्यतन2026-04-07

CVE-2026-32714 के लिए प्राथमिक शमन scitokens लाइब्रेरी को संस्करण 1.9.6 या उच्चतर में अपडेट करना है। इस संस्करण में एक सुधार शामिल है जो तैयार किए गए कथनों का उपयोग करके SQL क्वेरी बनाने के सुरक्षित तरीकों का उपयोग करके SQL इंजेक्शन को रोकता है। इसके अतिरिक्त, अपने एप्लिकेशन कोड की समीक्षा करना महत्वपूर्ण है ताकि SQL क्वेरी बनाने में उपयोगकर्ता-प्रदत्त डेटा के उपयोग के किसी भी अन्य उदाहरण की पहचान की जा सके और समान सुरक्षा उपाय लागू किए जा सकें। अपने एप्लिकेशन की निर्भरताओं को नियमित रूप से अपडेट करने की नीति को लागू करना सुरक्षा बनाए रखने के लिए महत्वपूर्ण है।