UNKNOWNCVE-2026-32716
SciTokens: Authorization Bypass via Incorrect Scope Path Prefix Checking
Platform
python
Component
scitokens
Opgelost in
1.9.6
SciTokens is een referentiebibliotheek voor het genereren en gebruiken van SciTokens. Voor versie 1.9.6 valideert de Enforcer scope-paden onjuist door een eenvoudige prefix match (startswith) te gebruiken. Dit staat een token met toegang tot een specifiek pad (bijv. /john) toe om ook toegang te krijgen tot sibling-paden die beginnen met hetzelfde voorvoegsel (bijv. /johnathan, /johnny), wat een Authorization Bypass is. Dit probleem is verholpen in versie 1.9.6.
Hoe te verhelpen
Update de SciTokens bibliotheek naar versie 1.9.6 of hoger. Deze versie corrigeert de onjuiste validatie van scope-paden, waardoor de authorization bypass wordt voorkomen. U kunt updaten met behulp van de Python package manager (pip).
Bewaak uw afhankelijkheden automatisch
Ontvang meldingen wanneer nieuwe kwetsbaarheden uw projecten beïnvloeden.
Gratis beginnen