Plataforma
python
Componente
scitokens
Corrigido em
1.9.7
1.9.6
A vulnerabilidade CVE-2026-32714 é uma falha de SQL Injection descoberta na biblioteca scitokens, versões até 1.8.1. Esta falha permite que um atacante execute comandos SQL arbitrários no banco de dados SQLite local, comprometendo a integridade e confidencialidade dos dados. A vulnerabilidade reside no uso inseguro da função str.format() para construir consultas SQL com dados fornecidos pelo usuário, como issuer e key_id. A correção foi lançada na versão 1.9.6.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante obtenha acesso não autorizado a dados sensíveis armazenados no banco de dados SQLite. O atacante pode ler, modificar ou até mesmo excluir dados, dependendo das permissões do usuário do banco de dados. Além disso, a execução de comandos SQL arbitrários pode levar à escalada de privilégios e ao comprometimento completo do sistema. A vulnerabilidade é particularmente preocupante em ambientes onde a biblioteca scitokens é usada para autenticação ou autorização, pois um atacante pode contornar os mecanismos de segurança e obter acesso não autorizado a recursos protegidos. A falha de SQL Injection ocorre devido à falta de validação ou sanitização dos dados de entrada antes de serem incorporados nas consultas SQL, permitindo que caracteres especiais e comandos SQL maliciosos sejam injetados nas consultas.
A vulnerabilidade CVE-2026-32714 foi divulgada em 2026-03-31. Embora não haja informações disponíveis sobre exploração ativa, a alta pontuação CVSS (9.8) indica um alto risco de exploração. A existência de um Proof of Concept (POC) público aumenta a probabilidade de exploração. É recomendável monitorar as fontes de inteligência de ameaças para detectar qualquer atividade maliciosa relacionada a esta vulnerabilidade.
Applications that rely on the scitokens library for authentication or authorization, particularly those using SQLite as their database backend, are at risk. Systems with older, unpatched versions of scitokens are especially vulnerable. Development environments and testing systems using scitokens should also be prioritized for patching.
• python / library:
import os
import sqlite3
def check_scitokens_version():
try:
import scitokens
version = scitokens.__version__
if version <= '1.8.1':
print(f"scitokens version is vulnerable: {version}")
else:
print(f"scitokens version is patched: {version}")
except ImportError:
print("scitokens is not installed.")
check_scitokens_version()• python / file: Examine src/scitokens/utils/keycache.py for instances of str.format() used with user-supplied data in SQL queries.
• generic web: Monitor application logs for unusual SQL errors or database activity that might indicate an attempted SQL Injection attack.
disclosure
poc
patch
Status do Exploit
EPSS
0.03% (percentil 10%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-32714 é atualizar a biblioteca scitokens para a versão 1.9.6 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar workarounds para reduzir o risco. Uma possível solução é validar e sanitizar rigorosamente todos os dados de entrada fornecidos pelo usuário antes de usá-los em consultas SQL. Utilize prepared statements ou funções de escape específicas da linguagem de programação para evitar a injeção de SQL. Além disso, restrinja as permissões do usuário do banco de dados para minimizar o impacto potencial de uma exploração bem-sucedida. Após a atualização, confirme a correção executando testes de penetração ou verificando os logs do sistema em busca de atividades suspeitas.
Atualize a biblioteca SciTokens para a versão 1.9.6 ou superior. Isso corrige a vulnerabilidade de Injeção SQL (SQL Injection) ao usar str.format() para construir consultas SQL com dados fornecidos pelo usuário.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-32714 is a critical SQL Injection vulnerability in the scitokens Python library, allowing attackers to execute arbitrary SQL commands against the local SQLite database.
You are affected if you are using scitokens versions 1.8.1 or earlier. Upgrade to version 1.9.6 or later to resolve the vulnerability.
Upgrade to version 1.9.6 or later of the scitokens library. As a temporary workaround, implement input validation and sanitization for the issuer and key_id parameters.
While active exploitation is not confirmed, the vulnerability is considered highly exploitable and a public proof-of-concept exists, increasing the likelihood of exploitation.
Refer to the scitokens project's official security advisories and release notes for details: [https://github.com/scitokens/scitokens/releases](https://github.com/scitokens/scitokens/releases)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.