SciTokens: स्कोप वैलिडेशन में पाथ ट्रैवर्सल के माध्यम से ऑथराइजेशन बाईपास

SciTokens में CVE-2026-32727 Enforcer लाइब्रेरी को प्रभावित करता है, जिससे पाथ ट्रैवर्सल अटैक संभव हो पाता है। 1.9.7 संस्करण से पहले, एक हमलावर SciToken के 'स्कोप' दावे को '..' अनुक्रमों का उपयोग करके हेरफेर कर सकता था, जिससे इच्छित निर्देशिका प्रतिबंधों को दरकिनार किया जा सकता था। ऐसा इसलिए है क्योंकि लाइब्रेरी 'startswith' का उपयोग करके तुलना करने से पहले, टोकन से अधिकृत पथ और एप्लिकेशन से अनुरोधित पथ दोनों को सामान्यीकृत करती है। यदि कोई एप्लिकेशन SciTokens का उपयोग पाथ के आधार पर संसाधनों तक पहुंच को नियंत्रित करने के लिए करता है, तो यह भेद्यता हमलावर को अनधिकृत फ़ाइलों या निर्देशिकाओं तक पहुंचने की अनुमति दे सकती है, जिससे एप्लिकेशन की सुरक्षा और अंतर्निहित डेटा से समझौता हो सकता है। गंभीरता को CVSS 8.1 के रूप में रेट किया गया है, जो मध्यम जोखिम दर्शाता है।

Applications that rely on SciTokens for authentication and authorization, particularly those that handle user-supplied data in the scope claim, are at risk. This includes applications with custom authentication flows or those integrating SciTokens into legacy systems. Shared hosting environments where multiple applications share the same server and file system are also at increased risk.

• python / library: Inspect SciTokens library versions in your Python projects.

pip show scitokens

• python / library: Check for usage of SciTokens with potentially untrusted scope claims in your application code. • generic web: Monitor application logs for unusual file access patterns or errors related to file paths. • generic web: Implement input validation on the application side to sanitize the scope claim before processing it.

1. 2026-03-31Disclosure

   disclosure

1. आरक्षित2026-03-13
2. प्रकाशित2026-03-31
3. संशोधित2026-04-02
4. EPSS अद्यतन2026-04-07

इस भेद्यता का समाधान SciTokens लाइब्रेरी को संस्करण 1.9.7 या उच्चतर में अपग्रेड करना है। यह संस्करण पाथ को संभालने के तरीके को ठीक करता है, जिससे पाथ ट्रैवर्सल अटैक की संभावना रुक जाती है। जोखिम को कम करने के लिए इस अपग्रेड को जल्द से जल्द करना उचित है। इसके अतिरिक्त, SciTokens का उपयोग करने वाले एप्लिकेशन कोड की समीक्षा करें ताकि यह सुनिश्चित हो सके कि पाथ हैंडलिंग और इनपुट सत्यापन से संबंधित कोई अन्य भेद्यता नहीं है। उपयोगकर्ता इनपुट (टोकन दावों सहित) के लिए मजबूत इनपुट सत्यापन को लागू करना एक सामान्य सुरक्षा सर्वोत्तम अभ्यास है।