プラットフォーム
python
コンポーネント
scitokens
修正版
1.9.8
SciTokensライブラリにおけるPath Traversalの脆弱性(CVE-2026-32727)は、攻撃者がトークンのスコープクレーム内のドットドット(..)を使用して、意図されたディレクトリ制限を回避できるものです。これにより、不正なファイルアクセスや情報漏洩のリスクがあります。影響を受けるのはバージョン1.9.7未満です。この問題はバージョン1.9.7で修正されています。
SciTokens の CVE-2026-32727 は、Enforcer ライブラリに影響を与え、パス・トラバーサル攻撃を可能にします。バージョン 1.9.7 より前は、攻撃者が SciToken の 'scope' クレームを '..' シーケンスを使用して操作し、意図されたディレクトリ制限を回避できました。これは、ライブラリがトークンからの承認済みパスとアプリケーションからの要求されたパスの両方を 'startswith' を使用して比較する前に正規化するためです。アプリケーションが SciTokens を使用してパスに基づいてリソースへのアクセスを制御する場合、この脆弱性は攻撃者が承認されていないファイルまたはディレクトリにアクセスできるようにし、アプリケーションのセキュリティと基盤となるデータを損なう可能性があります。深刻度は CVSS 8.1 と評価されており、中程度のリスクを示しています。
攻撃者が有効な SciToken (必ずしも正しい権限を持っているわけではない) にアクセスできる場合、この脆弱性を悪用する可能性があります。トークンの 'scope' クレームを、意図された範囲外のディレクトリを指す '..' シーケンスを含むように変更することで、攻撃者は Enforcer を欺いて、これらのリソースへのアクセスを許可する可能性があります。悪用の難易度は、アプリケーションの複雑さと有効なトークンの可用性に依存します。トークンが適切な検証なしに生成および配布される環境で、悪用の可能性が高くなります。
Applications that rely on SciTokens for authentication and authorization, particularly those that handle user-supplied data in the scope claim, are at risk. This includes applications with custom authentication flows or those integrating SciTokens into legacy systems. Shared hosting environments where multiple applications share the same server and file system are also at increased risk.
• python / library: Inspect SciTokens library versions in your Python projects.
pip show scitokens• python / library: Check for usage of SciTokens with potentially untrusted scope claims in your application code. • generic web: Monitor application logs for unusual file access patterns or errors related to file paths. • generic web: Implement input validation on the application side to sanitize the scope claim before processing it.
disclosure
エクスプロイト状況
EPSS
0.05% (15% パーセンタイル)
CISA SSVC
この脆弱性の解決策は、SciTokens ライブラリをバージョン 1.9.7 以降にアップグレードすることです。このバージョンは、パスの処理方法を修正し、パス・トラバーサル攻撃の可能性を防止します。リスクを軽減するために、できるだけ早くこのアップグレードを実行することをお勧めします。さらに、SciTokens を使用するアプリケーションコードを調べて、パス処理および入力検証に関連する他の脆弱性がないことを確認してください。ユーザー入力(トークンクレームを含む)の堅牢な検証を実装することは、一般的なセキュリティのベストプラクティスです。
Actualice la biblioteca SciTokens a la versión 1.9.7 o superior. Esta versión corrige la vulnerabilidad de path traversal en la validación del scope. La actualización evitará que atacantes puedan eludir las restricciones de directorio previstas mediante el uso de 'dot-dot (..)' en el scope del token.
脆弱性分析と重要アラートをメールでお届けします。
SciTokens は、アプリケーションの認証とアクセス制御に使用される SciToken を生成および使用するための参照ライブラリです。
バージョン 1.9.7 へのアップグレードは、攻撃者が承認されていないリソースにアクセスできる可能性のあるパス・トラバーサル脆弱性を修正します。
プロジェクトにライブラリをインストールした方法に応じて、setup.py または package.json ファイルを確認することで、SciTokens のバージョンを確認できます。
一時的な対策として、アプリケーションにパス検証を追加して、承認されていないディレクトリへのアクセスを防止することを検討してください。
SciTokens とこの脆弱性に関する詳細は、SciTokens の公式ドキュメントと CVE などの脆弱性データベースで確認できます。
CVSS ベクトル
requirements.txt ファイルをアップロードすると、影響の有無を即座にお知らせします。