UNKNOWNCVE-2026-32714
CVE-2026-32714: SciTokens SQLインジェクション (CVSS 9.8)
プラットフォーム
python
コンポーネント
scitokens
修正バージョン
1.9.6
CVE-2026-32714は、SciTokensのKeyCacheクラスにおけるSQLインジェクションの脆弱性です。この脆弱性により、攻撃者はissuerやkey_idなどのユーザー提供データを利用して、任意のSQLコマンドをローカルSQLiteデータベースに対して実行できる可能性があります。影響を受けるバージョンは1.9.6未満です。バージョン1.9.6で修正されています。
修正方法
SciTokens ライブラリをバージョン 1.9.6 以降にアップデートしてください。これにより、ユーザーが提供したデータを使用して SQL クエリを作成する際に str.format() を使用することによる SQL インジェクション (SQL Injection) の脆弱性が修正されます。
よくある質問
CVE-2026-32714とは何ですか?
SciTokensのKeyCacheクラスにおけるSQLインジェクションの脆弱性です。
この脆弱性の影響を受けますか?
SciTokensのバージョンが1.9.6未満の場合、影響を受ける可能性があります。
どのように修正できますか?
SciTokensをバージョン1.9.6にアップデートしてください。