SciTokens: Authorization Bypass via Incorrect Scope Path Prefix Checking

CVE-2026-32716 in Scitokens maakt een autorisatie-omzeiling mogelijk door een onjuiste validatie van scope-paden. De Enforcer-component gebruikt een eenvoudige prefix-match (startswith) om deze scopes te valideren. Dit betekent dat een token met toegang tot een specifiek pad (bijvoorbeeld /john) ook toegang kan krijgen tot zusterpaden die hetzelfde prefix delen (bijvoorbeeld /johnathan, /johnny). Deze fout in de scope-validatie stelt een aanvaller in staat om ongeautoriseerde resources te benaderen en de beveiliging van de applicatie in gevaar te brengen.

Applications and services that rely on SciTokens for authentication and authorization, particularly those with complex or hierarchical scope structures, are at risk. Shared hosting environments where multiple applications share the same SciTokens instance are also particularly vulnerable, as a compromise in one application could potentially impact others.

• python / application: Examine application logs for unusual access patterns or requests to sibling paths after authentication. • python / application: Review SciTokens configuration files for overly permissive scope definitions. • python / application: Monitor for modifications to src/scitokens/scitokens.py file, specifically the validatescp and validatescope methods.

import os
import hashlib

def check_scitokens_version():
    try:
        import scitokens
        version = scitokens.__version__
        print(f"SciTokens version: {version}")
        if version <= '1.8.1':
            print("WARNING: Vulnerable to CVE-2026-32716. Upgrade recommended.")
        else:
            print("SciTokens version is up to date.")
    except ImportError:
        print("SciTokens is not installed.")

check_scitokens_version()

1. 2026-03-31Disclosure

   disclosure

2. 2026-03-31Patch

   patch

1. Gereserveerd2026-03-13
2. Gepubliceerd2026-03-31
3. EPSS bijgewerkt2026-04-07

Om deze kwetsbaarheid te verhelpen, upgrade Scitokens naar versie 1.9.6 of hoger. Deze versie lost het probleem op door een strengere scope-validatie te implementeren. Raadpleeg de Scitokens-documentatie voor gedetailleerde instructies over hoe u kunt upgraden en de correcte implementatie van de fix kunt verifiëren. Controleer bovendien uw Scitokens-configuraties om ervoor te zorgen dat scopes zo restrictief mogelijk zijn gedefinieerd, waarbij de toegang wordt beperkt tot alleen de noodzakelijke resources.