プラットフォーム
python
コンポーネント
scitokens
修正版
1.9.7
1.9.6
CVE-2026-32714は、SciTokensのKeyCacheクラスにおけるSQLインジェクションの脆弱性です。この脆弱性により、攻撃者はissuerやkey_idなどのユーザー提供データを利用して、任意のSQLコマンドをローカルSQLiteデータベースに対して実行できる可能性があります。影響を受けるバージョンは1.9.6未満です。バージョン1.9.6で修正されています。
scitokens の CVE-2026-32714 は、SQL インジェクションのリスクを高めます。src/scitokens/utils/keycache.py にある脆弱なコードは、Python の str.format() 関数を使用して SQL クエリを構築し、issuer や key_id などのユーザー提供データを取り込みます。この手法により、攻撃者は悪意のある SQL コードをクエリに挿入し、ローカルの SQLite データベースに対して任意のコマンドを実行する可能性があります。潜在的な影響には、データ損失、データ改ざん、サービス拒否、および一部のケースでは機密情報の不正アクセスが含まれます。バージョン 1.9.6 がこの脆弱性を修正しているため、直ちに更新することを強くお勧めします。
攻撃者は、SQL クエリで使用される issuer または keyid パラメータに悪意のある値を指定することで、この脆弱性を悪用する可能性があります。これらの値には、データベースを操作するように設計された SQL コードが含まれている可能性があります。たとえば、攻撃者は keycache テーブルからデータを削除したり、偽のデータを挿入したりするコードを挿入する可能性があります。 正常な悪用には、API または Web インターフェイスを介して issuer および keyid パラメータが受信されるエントリポイントへのアクセスが必要です。 ユーザー入力の検証またはサニタイズの欠如が、この脆弱性の根本原因です。
Applications that rely on the scitokens library for authentication or authorization, particularly those using SQLite as their database backend, are at risk. Systems with older, unpatched versions of scitokens are especially vulnerable. Development environments and testing systems using scitokens should also be prioritized for patching.
• python / library:
import os
import sqlite3
def check_scitokens_version():
try:
import scitokens
version = scitokens.__version__
if version <= '1.8.1':
print(f"scitokens version is vulnerable: {version}")
else:
print(f"scitokens version is patched: {version}")
except ImportError:
print("scitokens is not installed.")
check_scitokens_version()• python / file: Examine src/scitokens/utils/keycache.py for instances of str.format() used with user-supplied data in SQL queries.
• generic web: Monitor application logs for unusual SQL errors or database activity that might indicate an attempted SQL Injection attack.
disclosure
poc
patch
エクスプロイト状況
EPSS
0.03% (10% パーセンタイル)
CISA SSVC
CVE-2026-32714 の主な軽減策は、scitokens ライブラリをバージョン 1.9.6 以降に更新することです。このバージョンには、準備されたステートメントを使用するなど、SQL クエリの構築に安全な方法を使用することで SQL インジェクションを防止する修正が含まれています。さらに、アプリケーションのコードを調べて、ユーザー提供データが SQL クエリの構築に使用されている他のインスタンスを特定し、同様のセキュリティ対策を適用することが重要です。アプリケーションの依存関係を定期的に更新するポリシーを実装することは、セキュリティを維持するために不可欠です。
SciTokens ライブラリをバージョン 1.9.6 以降にアップデートしてください。これにより、ユーザーが提供したデータを使用して SQL クエリを作成する際に str.format() を使用することによる SQL インジェクション (SQL Injection) の脆弱性が修正されます。
脆弱性分析と重要アラートをメールでお届けします。
SQL インジェクションは、攻撃者が SQL クエリに悪意のある SQL コードを挿入する攻撃技術であり、データベース上で任意のコマンドを実行する可能性があります。
scitokens ライブラリを 1.9.6 より前のバージョンで使用している場合、アプリケーションは SQL インジェクションの脆弱性があります。これにより、攻撃者がデータベース内の機密データにアクセスしたり、変更したりする可能性があります。
すぐに更新できない場合は、ユーザー入力の検証とサニタイズ、SQL クエリでの準備されたステートメントの使用など、追加のセキュリティ対策を実装することを検討してください。
NIST の National Vulnerability Database (NVD) などの脆弱性データベースで、CVE-2026-32714 についてさらに詳しい情報を入手できます。
はい、コード内の SQL インジェクションの脆弱性を検出するのに役立つ、いくつかの静的および動的分析ツールがあります。
CVSS ベクトル
requirements.txt ファイルをアップロードすると、影響の有無を即座にお知らせします。