प्लेटफ़ॉर्म
cpp
घटक
scitokens-cpp
में ठीक किया गया
1.4.2
CVE-2026-32725, SciTokens C++ लाइब्रेरी में एक पाथ ट्रैवर्सल भेद्यता है। इस भेद्यता के कारण, एक हमलावर टोकन में पाथ-आधारित स्कोप को संसाधित करते समय प्राधिकरण को बायपास कर सकता है, जिससे अनधिकृत पहुंच प्राप्त हो सकती है। यह भेद्यता 1.4.1 से पहले के SciTokens C++ संस्करणों को प्रभावित करती है। संस्करण 1.4.1 में इस समस्या को ठीक कर दिया गया है।
CVE-2026-32725 scitokens-cpp लाइब्रेरी को प्रभावित करता है, जिसका उपयोग C/C++ में SciToken प्रबंधित करने के लिए किया जाता है। संस्करण 1.4.1 से पहले, इस लाइब्रेरी में टोकन के भीतर पथ-आधारित स्कोप को संसाधित करते समय प्राधिकरण बाईपास की भेद्यता है। लाइब्रेरी प्राधिकरण से पहले टोकन से स्कोप पथ को सामान्य करती है और '..' पथ घटकों को अस्वीकार करने के बजाय उन्हें क्रैश कर देती है। नतीजतन, एक हमलावर स्कोप दावे में पैरेंट-डायरेक्टरी ट्रैवर्सल का उपयोग करके इच्छित निर्देशिका से परे प्रभावी प्राधिकरण का विस्तार कर सकता है। यह उन प्रणालियों में विशेष रूप से चिंताजनक है जो संवेदनशील संसाधनों तक पहुंच को नियंत्रित करने के लिए SciToken पर निर्भर करती हैं, क्योंकि दुर्भावनापूर्ण टोकन अत्यधिक विशेषाधिकार प्रदान कर सकता है।
एक हमलावर '..' अनुक्रमों वाली दुर्भावनापूर्ण स्कोप के साथ SciToken बनाकर इस भेद्यता का फायदा उठा सकता है, जिससे इच्छित निर्देशिका के बाहर नेविगेट किया जा सके। उदाहरण के लिए, केवल '/data/project1/' तक पहुंच की अनुमति देने के लिए डिज़ाइन किए गए टोकन को '/data/../secrets/' तक पहुंच की अनुमति देने के लिए हेरफेर किया जा सकता है। लाइब्रेरी इस अनुचित पथ सत्यापन के कारण इस अनधिकृत पहुंच की अनुमति देगी। यदि एक हमलावर टोकन निर्माण को नियंत्रित करने या उपयोग करने से पहले इसे इंटरसेप्ट और संशोधित करने में सक्षम है, तो शोषण अपेक्षाकृत सरल है। स्कोप दावे में मजबूत पथ सत्यापन की कमी इस भेद्यता का मूल कारण है।
Applications and systems that rely on SciTokens C++ for authentication or authorization, particularly those handling sensitive data or performing critical operations, are at risk. This includes systems using SciTokens C++ in custom authentication schemes or integrating it with third-party services.
• cpp / library: Examine token scope paths for ".." sequences.
if (scopePath.find("../") != std::string::npos) {
// Reject token
throw std::runtime_error("Invalid scope path: contains '..'");
}• generic web: Monitor application logs for unusual file access patterns or errors related to scope path processing.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.23% (46% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता के लिए समाधान scitokens-cpp को संस्करण 1.4.1 या उच्चतर में अपग्रेड करना है। यह संस्करण स्कोप पथ को संसाधित करने के तरीके को ठीक करता है, '..' घटकों को सही ढंग से अस्वीकार करता है और प्राधिकरण बाईपास को रोकता है। scitokens-cpp का उपयोग करने वाले डेवलपर्स को जल्द से जल्द अपग्रेड का मूल्यांकन करने की दृढ़ता से अनुशंसा की जाती है। इसके अतिरिक्त, SciToken का उपयोग करने वाले मौजूदा कार्यान्वयनों की समीक्षा करें ताकि यह सुनिश्चित हो सके कि पथ सत्यापन से संबंधित कोई अन्य संबंधित भेद्यता नहीं है। इस जोखिम को कम करने के लिए पैच लागू करना और कोड समीक्षा करना महत्वपूर्ण कदम हैं।
Actualice la biblioteca scitokens-cpp a la versión 1.4.1 o superior. Esta versión corrige la vulnerabilidad de path traversal que permite la elusión de la autorización. La actualización evitará que los atacantes amplíen la autorización más allá del directorio previsto mediante la manipulación de las rutas en las reclamaciones de alcance.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
SciToken एक सुरक्षा टोकन है जिसमें उपयोगकर्ता, जिस संसाधन तक वे पहुंचने का प्रयास कर रहे हैं और वे कौन सी क्रियाएं कर सकते हैं, के बारे में जानकारी होती है। इसका उपयोग आमतौर पर वितरित प्रणालियों में प्राधिकरण के लिए किया जाता है।
यदि आपका एप्लिकेशन scitokens-cpp का उपयोग करता है और इसे संस्करण 1.4.1 या उच्चतर में अपडेट नहीं किया गया है, तो यह प्राधिकरण बाईपास की भेद्यता है। इससे एक हमलावर उन संसाधनों तक पहुंच प्राप्त कर सकता है जिन तक उसे पहुंच नहीं होनी चाहिए।
यदि आप तुरंत अपग्रेड नहीं कर सकते हैं, तो SciToken का उपयोग करने से पहले अपने स्वयं के एप्लिकेशन में अधिक सख्त पथ सत्यापन जैसे अतिरिक्त शमन उपायों को लागू करने पर विचार करें।
वर्तमान में, इस भेद्यता का पता लगाने के लिए कोई विशिष्ट उपकरण नहीं है। स्वचालित उपकरण विकसित होने तक मैन्युअल कोड समीक्षा सबसे अच्छा विकल्प है।
आप SciToken की आधिकारिक वेबसाइट [https://scitokens.com/](https://scitokens.com/) पर अधिक जानकारी पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।