NextGuard
UNKNOWNCVE-2026-32727

SciTokens: Authorization Bypass via Path Traversal in Scope Validation

Platform

python

Component

scitokens

Opgelost in

1.9.7

Bekijk op NVD

SciTokens is een referentiebibliotheek voor het genereren en gebruiken van SciTokens. Voor versie 1.9.7 is de Enforcer vatbaar voor een path traversal (pad traversal) aanval waarbij een aanvaller dot-dot (..) kan gebruiken in de scope claim van een token om te ontsnappen aan de beoogde directory restrictie. Dit gebeurt omdat de bibliotheek zowel het geautoriseerde pad (van het token) als het aangevraagde pad (van de applicatie) normaliseert voordat ze worden vergeleken met behulp van startswith. Dit probleem is verholpen in versie 1.9.7.

Hoe te verhelpen

Update de SciTokens bibliotheek naar versie 1.9.7 of hoger. Deze versie corrigeert de path traversal (pad traversal) kwetsbaarheid in de scope validatie, waardoor aanvallers niet kunnen ontsnappen aan directory restricties door het gebruik van '..' in de scope van het token.

Bewaak uw afhankelijkheden automatisch

Ontvang meldingen wanneer nieuwe kwetsbaarheden uw projecten beïnvloeden.

Gratis beginnen