Platform
python
Component
scitokens
Opgelost in
1.9.7
1.9.6
CVE-2026-32714 is een SQL Injectie kwetsbaarheid in SciTokens. Een aanvaller kan via de KeyCache class willekeurige SQL commando's uitvoeren tegen de lokale SQLite database. Deze kwetsbaarheid treft versies ≤< 1.9.6. De kwetsbaarheid is verholpen in versie 1.9.6.
CVE-2026-32714 in scitokens vormt een aanzienlijk SQL-injectierisico. De kwetsbare code in src/scitokens/utils/keycache.py gebruikt de str.format()-functie van Python om SQL-query's te construeren, waarbij gebruikersinvoer zoals issuer en key_id wordt opgenomen. Deze praktijk stelt een aanvaller in staat kwaadaardige SQL-code in de query te injecteren, wat mogelijk kan leiden tot de uitvoering van willekeurige commando's op de lokale SQLite-database. De potentiële impact omvat gegevensverlies, gegevenswijziging, denial-of-service en in sommige gevallen ongeautoriseerde toegang tot gevoelige informatie. Versie 1.9.6 adresseert deze kwetsbaarheid, dus een onmiddellijke update wordt aanbevolen.
Een aanvaller zou deze kwetsbaarheid kunnen exploiteren door kwaadaardige waarden te verstrekken voor de parameters issuer of keyid die worden gebruikt in de SQL-query. Deze waarden kunnen SQL-code bevatten die is ontworpen om de database te manipuleren. Bijvoorbeeld, een aanvaller zou code kunnen injecteren om gegevens uit de tabel keycache te verwijderen of valse gegevens in te voegen. Een succesvolle exploitatie vereist toegang tot de ingangspunten waar de parameters issuer en keyid worden ontvangen, bijvoorbeeld via een API of een webinterface. Het ontbreken van validatie of sanitatie van gebruikersinvoer is de hoofdoorzaak van deze kwetsbaarheid.
Applications that rely on the scitokens library for authentication or authorization, particularly those using SQLite as their database backend, are at risk. Systems with older, unpatched versions of scitokens are especially vulnerable. Development environments and testing systems using scitokens should also be prioritized for patching.
• python / library:
import os
import sqlite3
def check_scitokens_version():
try:
import scitokens
version = scitokens.__version__
if version <= '1.8.1':
print(f"scitokens version is vulnerable: {version}")
else:
print(f"scitokens version is patched: {version}")
except ImportError:
print("scitokens is not installed.")
check_scitokens_version()• python / file: Examine src/scitokens/utils/keycache.py for instances of str.format() used with user-supplied data in SQL queries.
• generic web: Monitor application logs for unusual SQL errors or database activity that might indicate an attempted SQL Injection attack.
disclosure
poc
patch
Exploit Status
EPSS
0.03% (10% percentiel)
CISA SSVC
CVSS-vector
De belangrijkste mitigatie voor CVE-2026-32714 is het bijwerken van de scitokens-bibliotheek naar versie 1.9.6 of hoger. Deze versie bevat een correctie die SQL-injectie voorkomt door veilige methoden te gebruiken voor het construeren van SQL-query's, zoals het gebruik van prepared statements. Bovendien is het belangrijk om de code van uw applicatie te bekijken om andere gevallen te identificeren waarin gebruikersinvoer wordt gebruikt bij het construeren van SQL-query's en vergelijkbare beveiligingsmaatregelen toe te passen. Het implementeren van een regelmatig beleid voor het bijwerken van applicatie-afhankelijkheden is cruciaal om de beveiliging te behouden.
Update de SciTokens bibliotheek naar versie 1.9.6 of hoger. Dit corrigeert de SQL Injection (SQL Injection) kwetsbaarheid bij het gebruik van str.format() om SQL queries te construeren met door de gebruiker geleverde data.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
SQL-injectie is een aanvalstechniek waarmee een aanvaller kwaadaardige SQL-code in een SQL-query kan injecteren, wat kan leiden tot de uitvoering van willekeurige commando's op de database.
Als u de scitokens-bibliotheek gebruikt in een versie vóór 1.9.6, is uw applicatie kwetsbaar voor SQL-injectie. Dit kan een aanvaller toestaan om toegang te krijgen tot of gevoelige gegevens in uw database te wijzigen.
Als u niet onmiddellijk kunt updaten, overweeg dan om aanvullende beveiligingsmaatregelen te implementeren, zoals het valideren en sanitiseren van gebruikersinvoer en het gebruik van prepared statements in uw SQL-query's.
U kunt meer informatie over CVE-2026-32714 vinden in kwetsbaarheidsdatabases, zoals de National Vulnerability Database (NVD) van NIST.
Ja, er zijn verschillende statische en dynamische analysetools die u kunnen helpen SQL-injectiekwetsbaarheden in uw code te detecteren.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.