プラットフォーム
python
コンポーネント
scitokens
修正版
1.9.7
1.9.6
CVE-2026-32716は、scitokensライブラリにおける権限バイパスの脆弱性です。この脆弱性は、スコープパスの検証処理にprefix matchのみを使用していることに起因し、特定のパスへのアクセス権を持つトークンが、意図しない関連パスにもアクセスできてしまう可能性があります。影響を受けるバージョンは1.8.1以下ですが、scitokens 1.9.6へのアップデートで修正されています。
この脆弱性を悪用されると、攻撃者は正規のユーザーの権限を装い、本来アクセスできないはずのリソースに不正にアクセスすることが可能になります。例えば、/johnへのアクセス権を持つトークンが、/johnathanや/johnnyといった関連パスにもアクセスできてしまう可能性があります。これにより、機密情報の漏洩、データの改ざん、さらにはシステム全体の制御権奪取といった深刻な被害につながる可能性があります。この脆弱性は、類似の権限検証不備による攻撃と同様に、攻撃者による不正アクセスを容易にする可能性があります。
この脆弱性は、2026年3月31日に公開されました。現時点では、KEVに登録されていませんが、CVSSスコアがHIGHであることから、悪用される可能性は高いと考えられます。公的なPoCはまだ確認されていませんが、脆弱性の性質上、早期に悪用コードが公開される可能性があります。NVDおよびCISAの情報を継続的に監視し、最新の脅威動向を把握することが重要です。
Applications and services that rely on SciTokens for authentication and authorization, particularly those with complex or hierarchical scope structures, are at risk. Shared hosting environments where multiple applications share the same SciTokens instance are also particularly vulnerable, as a compromise in one application could potentially impact others.
• python / application: Examine application logs for unusual access patterns or requests to sibling paths after authentication.
• python / application: Review SciTokens configuration files for overly permissive scope definitions.
• python / application: Monitor for modifications to src/scitokens/scitokens.py file, specifically the validatescp and validatescope methods.
import os
import hashlib
def check_scitokens_version():
try:
import scitokens
version = scitokens.__version__
print(f"SciTokens version: {version}")
if version <= '1.8.1':
print("WARNING: Vulnerable to CVE-2026-32716. Upgrade recommended.")
else:
print("SciTokens version is up to date.")
except ImportError:
print("SciTokens is not installed.")
check_scitokens_version()disclosure
patch
エクスプロイト状況
EPSS
0.03% (9% パーセンタイル)
CISA SSVC
最も効果的な対策は、scitokensをバージョン1.9.6にアップデートすることです。バージョンアップが困難な場合は、WAFやリバースプロキシを使用して、不正なスコープパスへのアクセスをブロックするルールを実装することを検討してください。また、アクセス制御のロジックを強化し、prefix matchではなく、より厳密なパス検証を行うように修正することも有効です。アップデート後、アクセス制御のログを監視し、不正アクセスがないか確認することで、脆弱性の影響を検証できます。
SciTokens ライブラリをバージョン 1.9.6 以降にアップデートしてください。このバージョンでは、スコープパスの誤った検証が修正され、認証バイパスが防止されます。Python パッケージマネージャー (pip) を使用してアップデートできます。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-32716は、scitokensライブラリのスコープパス検証処理の不備による権限バイパス脆弱性です。これにより、本来アクセスできないリソースに不正にアクセスされる可能性があります。
scitokensのバージョンが1.8.1以下の場合、この脆弱性の影響を受けます。バージョン1.9.6へのアップデートが必要です。
scitokensをバージョン1.9.6にアップデートすることで、この脆弱性を修正できます。バージョンアップが難しい場合は、WAFやリバースプロキシでアクセス制御ルールを実装してください。
現時点では、公的な悪用事例は確認されていませんが、CVSSスコアがHIGHであることから、悪用される可能性は高いと考えられます。
scitokensの公式アドバイザリは、scitokensのドキュメントまたはGitHubリポジトリで確認できます。
CVSS ベクトル
requirements.txt ファイルをアップロードすると、影響の有無を即座にお知らせします。