प्लेटफ़ॉर्म
python
घटक
scitokens
में ठीक किया गया
1.9.7
1.9.6
CVE-2026-32716, scitokens में एक प्रमाणीकरण बाईपास भेद्यता है, जो एक टोकन को अनपेक्षित संसाधनों तक पहुंचने की अनुमति देती है। यह भेद्यता अनधिकृत पहुंच का कारण बन सकती है। यह scitokens के 1.8.1 और उससे पहले के संस्करणों को प्रभावित करता है। संस्करण 1.9.6 में इस समस्या को ठीक कर दिया गया है।
Scitokens में CVE-2026-32716 दायरे के पथों के गलत सत्यापन के कारण प्राधिकरण को दरकिनार करने की अनुमति देता है। Enforcer घटक इन दायरों को मान्य करने के लिए एक साधारण उपसर्ग मिलान (startswith) का उपयोग करता है। इसका मतलब है कि किसी विशिष्ट पथ (जैसे /john) तक पहुंच वाले टोकन के पास समान उपसर्ग साझा करने वाले भाई पथों (जैसे /johnathan, /johnny) तक भी पहुंच हो सकती है। दायरे के सत्यापन में यह विफलता एक हमलावर को अनधिकृत संसाधनों तक पहुंचने और एप्लिकेशन सुरक्षा से समझौता करने की अनुमति देती है।
एक हमलावर एक विशिष्ट पथ तक पहुंच वाले टोकन बनाकर और फिर उस टोकन का उपयोग करके समान उपसर्ग साझा करने वाले अन्य पथों तक पहुंचने के लिए इस भेद्यता का फायदा उठा सकता है। यह हमलावर को संवेदनशील डेटा तक पहुंचने या अनधिकृत क्रियाएं करने की अनुमति दे सकता है। उन वातावरणों में जोखिम अधिक होता है जहां संवेदनशील संसाधनों तक पहुंच को नियंत्रित करने के लिए दायरों का उपयोग किया जाता है।
Applications and services that rely on SciTokens for authentication and authorization, particularly those with complex or hierarchical scope structures, are at risk. Shared hosting environments where multiple applications share the same SciTokens instance are also particularly vulnerable, as a compromise in one application could potentially impact others.
• python / application: Examine application logs for unusual access patterns or requests to sibling paths after authentication.
• python / application: Review SciTokens configuration files for overly permissive scope definitions.
• python / application: Monitor for modifications to src/scitokens/scitokens.py file, specifically the validatescp and validatescope methods.
import os
import hashlib
def check_scitokens_version():
try:
import scitokens
version = scitokens.__version__
print(f"SciTokens version: {version}")
if version <= '1.8.1':
print("WARNING: Vulnerable to CVE-2026-32716. Upgrade recommended.")
else:
print("SciTokens version is up to date.")
except ImportError:
print("SciTokens is not installed.")
check_scitokens_version()disclosure
patch
एक्सप्लॉइट स्थिति
EPSS
0.03% (9% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, Scitokens को संस्करण 1.9.6 या उच्चतर में अपग्रेड करें। यह संस्करण समस्या को ठीक करता है अधिक सख्त दायरे सत्यापन को लागू करके। कृपया Scitokens दस्तावेज़ देखें, जिसमें अपग्रेड कैसे करें और फिक्स के सही कार्यान्वयन को कैसे सत्यापित करें, इस बारे में विस्तृत निर्देश दिए गए हैं। इसके अतिरिक्त, अपने Scitokens कॉन्फ़िगरेशन की समीक्षा करें ताकि यह सुनिश्चित हो सके कि दायरे को यथासंभव प्रतिबंधात्मक रूप से परिभाषित किया गया है, केवल आवश्यक संसाधनों तक पहुंच को सीमित किया गया है।
Actualice la biblioteca SciTokens a la versión 1.9.6 o superior. Esta versión corrige la validación incorrecta de las rutas de alcance, evitando el bypass de autorización. Puede actualizar usando el gestor de paquetes de Python (pip).
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
एक दायरा उन संसाधनों के सेट को परिभाषित करता है जिनकी एक टोकन को पहुंच है। इसका उपयोग एप्लिकेशन के भीतर डेटा और कार्यक्षमताओं तक पहुंच को नियंत्रित करने के लिए किया जाता है।
दायरे का सत्यापन यह सुनिश्चित करने के लिए महत्वपूर्ण है कि टोकन केवल उन संसाधनों तक पहुंचें जिनके लिए उन्हें अधिकृत किया गया है। गलत सत्यापन से प्राधिकरण को दरकिनार किया जा सकता है और अनधिकृत पहुंच हो सकती है।
यदि आप तुरंत अपग्रेड नहीं कर सकते हैं, तो अतिरिक्त शमन उपायों को लागू करने पर विचार करें, जैसे कि सबसे संवेदनशील संसाधनों तक पहुंच को प्रतिबंधित करना और संदिग्ध पैटर्न के लिए टोकन गतिविधि की निगरानी करना।
अपग्रेड के बाद, यह सुनिश्चित करने के लिए अपने एप्लिकेशन का पूरी तरह से परीक्षण करें कि दायरा सत्यापन अपेक्षित रूप से काम कर रहा है। असामान्य गतिविधि के लिए ऑडिट लॉग की जांच करें।
संस्करण 1.9.6 में अपग्रेड करने से प्रदर्शन पर न्यूनतम प्रभाव पड़ सकता है, लेकिन अधिकांश मामलों में इसे नगण्य माना जाता है। अपग्रेड के बाद प्रदर्शन परीक्षण करने की सिफारिश की जाती है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।