Plataforma
cpp
Componente
scitokens-cpp
Corrigido em
1.4.2
A biblioteca SciTokens C++ é uma ferramenta minimalista para criar e utilizar SciTokens em C ou C++. Uma vulnerabilidade de bypass de autorização foi descoberta em versões anteriores à 1.4.1, permitindo que atacantes manipulem escopos baseados em caminho para obter acesso não autorizado. A vulnerabilidade foi corrigida na versão 1.4.1 e é recomendável atualizar para essa versão.
A vulnerabilidade de Path Traversal em SciTokens C++ permite que um atacante contorne as restrições de autorização ao manipular escopos de caminho em tokens. Ao explorar essa falha, um invasor pode inserir sequências ".." no escopo do token para navegar para diretórios fora do escopo pretendido, obtendo acesso a recursos e dados que normalmente estariam protegidos. O impacto pode variar dependendo de como a biblioteca SciTokens C++ é utilizada em aplicações, mas potencialmente pode levar à exposição de informações confidenciais ou à execução de ações não autorizadas.
A vulnerabilidade CVE-2026-32725 foi divulgada em 2026-03-31. Não há informações disponíveis sobre exploração ativa ou a inclusão em catálogos como o KEV. A ausência de um Proof of Concept (PoC) público sugere que a exploração pode ser complexa ou que a vulnerabilidade ainda não foi amplamente explorada.
Applications and systems that rely on SciTokens C++ for authentication or authorization, particularly those handling sensitive data or performing critical operations, are at risk. This includes systems using SciTokens C++ in custom authentication schemes or integrating it with third-party services.
• cpp / library: Examine token scope paths for ".." sequences.
if (scopePath.find("../") != std::string::npos) {
// Reject token
throw std::runtime_error("Invalid scope path: contains '..'");
}• generic web: Monitor application logs for unusual file access patterns or errors related to scope path processing.
disclosure
Status do Exploit
EPSS
0.23% (percentil 46%)
CISA SSVC
Vetor CVSS
A mitigação primária para a vulnerabilidade CVE-2026-32725 é atualizar a biblioteca SciTokens C++ para a versão 1.4.1 ou superior. Se a atualização imediata não for possível, considere implementar validações adicionais no código da aplicação para garantir que os escopos dos tokens sejam válidos e não contenham sequências de traversal de diretório. Implementar regras de firewall de aplicação web (WAF) para bloquear solicitações com padrões suspeitos de path traversal também pode ajudar a mitigar o risco. Após a atualização, verifique se a biblioteca está funcionando corretamente e se as autorizações estão sendo aplicadas conforme o esperado.
Atualize a biblioteca scitokens-cpp para a versão 1.4.1 ou superior. Esta versão corrige a vulnerabilidade de path traversal que permite a elisão da autorização. A atualização evitará que os atacantes ampliem a autorização além do diretório previsto mediante a manipulação das rotas nas declarações de escopo.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-32725 is a Path Traversal vulnerability affecting SciTokens C++ versions prior to 1.4.1. It allows attackers to bypass authorization by manipulating scope paths in tokens.
You are affected if you are using SciTokens C++ version 1.4.1 or earlier. Check your dependency versions to determine if you are vulnerable.
Upgrade to SciTokens C++ version 1.4.1 or later to resolve this vulnerability. Implement input validation as a temporary workaround if upgrading is not immediately possible.
As of now, there are no confirmed reports of active exploitation targeting CVE-2026-32725, but the vulnerability's nature makes it a potential target.
Refer to the SciTokens C++ project's official channels (website, GitHub repository) for the latest advisory and security updates related to CVE-2026-32725.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.