Plataforma
python
Componente
scitokens
Corrigido em
1.9.7
1.9.6
CVE-2026-32716 descreve uma vulnerabilidade no scitokens onde a validação incorreta de caminhos de escopo leva a um bypass de autorização. Um token com acesso a um caminho específico pode acessar caminhos irmãos com o mesmo prefixo. Afeta versões ≤1.8.1 do scitokens. A correção está disponível na versão 1.9.6.
A vulnerabilidade CVE-2026-32716 no Scitokens permite uma elisão de autorização devido à validação incorreta dos caminhos de escopo. O componente Enforcer utiliza uma correspondência de prefixo simples (startswith) para validar esses escopos. Isso significa que um token com acesso a um caminho específico (por exemplo, /john) pode acessar caminhos irmãos que compartilham o mesmo prefixo (por exemplo, /johnathan, /johnny). Essa falha na validação de escopo permite que um atacante acesse recursos não autorizados, comprometendo a segurança da aplicação.
Um atacante pode explorar esta vulnerabilidade criando um token com acesso a um caminho específico e, em seguida, usá-lo para acessar outros caminhos que compartilham o mesmo prefixo. Isso pode permitir que o atacante acesse dados confidenciais ou execute ações não autorizadas. O risco é maior em ambientes onde os escopos são usados para controlar o acesso a recursos sensíveis.
Applications and services that rely on SciTokens for authentication and authorization, particularly those with complex or hierarchical scope structures, are at risk. Shared hosting environments where multiple applications share the same SciTokens instance are also particularly vulnerable, as a compromise in one application could potentially impact others.
• python / application: Examine application logs for unusual access patterns or requests to sibling paths after authentication.
• python / application: Review SciTokens configuration files for overly permissive scope definitions.
• python / application: Monitor for modifications to src/scitokens/scitokens.py file, specifically the validatescp and validatescope methods.
import os
import hashlib
def check_scitokens_version():
try:
import scitokens
version = scitokens.__version__
print(f"SciTokens version: {version}")
if version <= '1.8.1':
print("WARNING: Vulnerable to CVE-2026-32716. Upgrade recommended.")
else:
print("SciTokens version is up to date.")
except ImportError:
print("SciTokens is not installed.")
check_scitokens_version()disclosure
patch
Status do Exploit
EPSS
0.03% (percentil 9%)
CISA SSVC
Vetor CVSS
Para mitigar esta vulnerabilidade, atualize o Scitokens para a versão 1.9.6 ou superior. Esta versão corrige o problema implementando uma validação de escopo mais rigorosa. Certifique-se de revisar a documentação do Scitokens para obter instruções detalhadas sobre como atualizar e verificar a implementação correta da correção. Além disso, revise suas configurações do Scitokens para garantir que os escopos sejam definidos da forma mais restritiva possível, limitando o acesso apenas aos recursos necessários.
Actualice la biblioteca SciTokens a la versión 1.9.6 o superior. Esta versión corrige la validación incorrecta de las rutas de alcance, evitando el bypass de autorización. Puede actualizar usando el gestor de paquetes de Python (pip).
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Um escopo define o conjunto de recursos a que um token tem acesso. É usado para controlar o acesso a dados e funcionalidades dentro de uma aplicação.
A validação de escopo é crucial para garantir que os tokens tenham acesso apenas aos recursos que estão autorizados a acessar. Uma validação incorreta pode levar a uma elisão de autorização e a um acesso não autorizado.
Se não puder atualizar imediatamente, considere implementar medidas de mitigação adicionais, como restringir o acesso aos recursos mais sensíveis e monitorar a atividade do token em busca de padrões suspeitos.
Após a atualização, teste exaustivamente sua aplicação para garantir que a validação de escopo funcione conforme o esperado. Revise os registros de auditoria para detectar qualquer atividade incomum.
A atualização para a versão 1.9.6 pode ter um impacto mínimo no desempenho, mas espera-se que seja insignificante na maioria dos casos. Recomenda-se realizar testes de desempenho após a atualização.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.