Platform
python
Component
scitokens
Opgelost in
1.9.8
CVE-2026-32727 is een Path Traversal kwetsbaarheid in SciTokens. Een aanvaller kan dot-dot (..) gebruiken in de scope claim van een token om de beoogde directory beperking te omzeilen. Dit komt doordat de bibliotheek zowel het geautoriseerde pad (van de token) als het gevraagde pad (van de applicatie) normaliseert voordat ze worden vergeleken met startswith. Deze kwetsbaarheid treft versies kleiner dan 1.9.7. De kwetsbaarheid is verholpen in versie 1.9.7.
CVE-2026-32727 in SciTokens beïnvloedt de Enforcer-bibliotheek en maakt een path traversal-aanval mogelijk. Voor versie 1.9.7 kon een aanvaller de 'scope'-claim van een SciToken manipuleren door '..' sequenties te gebruiken om bedoelde directorybeperkingen te omzeilen. Dit komt omdat de bibliotheek zowel het geautoriseerde pad (uit de token) als het aangevraagde pad (van de applicatie) normaliseert voordat ze worden vergeleken met 'startswith'. Als een applicatie SciTokens gebruikt om de toegang tot resources op basis van paden te beheren, kan deze kwetsbaarheid een aanvaller in staat stellen om ongeautoriseerde bestanden of directories te bereiken, waardoor de beveiliging van de applicatie en de onderliggende gegevens wordt aangetast. De ernst wordt beoordeeld als CVSS 8.1, wat een matig risico aangeeft.
Een aanvaller kan deze kwetsbaarheid uitbuiten als hij toegang heeft tot een geldige SciToken (zelfs als hij niet noodzakelijkerwijs de juiste machtigingen heeft). Door de 'scope'-claim van de token te manipuleren om '..' sequenties te bevatten die verwijzen naar directories buiten de beoogde scope, kan de aanvaller de Enforcer misleiden om toegang tot die resources toe te staan. De moeilijkheidsgraad van de exploitatie hangt af van de complexiteit van de applicatie en de beschikbaarheid van geldige tokens. Exploitatie is waarschijnlijker in omgevingen waar tokens worden gegenereerd en gedistribueerd zonder juiste validatie.
Applications that rely on SciTokens for authentication and authorization, particularly those that handle user-supplied data in the scope claim, are at risk. This includes applications with custom authentication flows or those integrating SciTokens into legacy systems. Shared hosting environments where multiple applications share the same server and file system are also at increased risk.
• python / library: Inspect SciTokens library versions in your Python projects.
pip show scitokens• python / library: Check for usage of SciTokens with potentially untrusted scope claims in your application code. • generic web: Monitor application logs for unusual file access patterns or errors related to file paths. • generic web: Implement input validation on the application side to sanitize the scope claim before processing it.
disclosure
Exploit Status
EPSS
0.05% (15% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor deze kwetsbaarheid is om te upgraden naar versie 1.9.7 of hoger van de SciTokens-bibliotheek. Deze versie corrigeert hoe paden worden behandeld en voorkomt zo de mogelijkheid van een path traversal-aanval. Het wordt aanbevolen om deze upgrade zo snel mogelijk uit te voeren om het risico te verminderen. Controleer bovendien de applicatiecode die SciTokens gebruikt om ervoor te zorgen dat er geen andere kwetsbaarheden zijn met betrekking tot padverwerking en invoervalidatie. Het implementeren van een robuuste invoervalidatie, inclusief de validatie van token-claims, is een algemene beveiligingsbest practice.
Update de SciTokens bibliotheek naar versie 1.9.7 of hoger. Deze versie corrigeert de path traversal (pad traversal) kwetsbaarheid in de scope validatie, waardoor aanvallers niet kunnen ontsnappen aan directory restricties door het gebruik van '..' in de scope van het token.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
SciTokens is een referentiebibliotheek voor het genereren en gebruiken van SciTokens, die worden gebruikt voor autorisatie en toegangscontrole in applicaties.
Het upgraden naar versie 1.9.7 lost een path traversal-kwetsbaarheid op die aanvallers in staat zou kunnen stellen om toegang te krijgen tot ongeautoriseerde resources.
U kunt uw SciTokens-versie controleren door het setup.py- of package.json-bestand van uw project te controleren, afhankelijk van hoe u de bibliotheek hebt geïnstalleerd.
Als tijdelijke maatregel moet u overwegen om extra padvalidatie in uw applicatie te implementeren om toegang tot ongeautoriseerde directories te voorkomen.
U kunt meer informatie over SciTokens en deze kwetsbaarheid vinden in de officiële SciTokens-documentatie en kwetsbaarheidsdatabases zoals CVE.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.