平台
python
组件
scitokens
修复版本
1.9.7
1.9.6
CVE-2026-32714是SciTokens参考库中发现的SQL注入漏洞。该漏洞存在于1.9.6之前的版本中,由于KeyCache类使用Python的str.format()构造SQL查询,导致攻击者可以利用用户提供的数据执行任意SQL命令,影响本地SQLite数据库。该漏洞影响1.9.6之前的版本。已在SciTokens 1.9.6版本中修复。
scitokens 中的 CVE-2026-32714 存在着 SQL 注入的重大风险。src/scitokens/utils/keycache.py 中的脆弱代码使用 Python 的 str.format() 函数来构建 SQL 查询,并包含用户提供的数据,例如 issuer 和 key_id。这种做法允许攻击者将恶意 SQL 代码注入到查询中,从而可能对本地 SQLite 数据库执行任意命令。潜在影响包括数据丢失、数据修改、拒绝服务以及在某些情况下未经授权访问敏感信息。版本 1.9.6 解决了此漏洞,因此强烈建议立即更新。
攻击者可以通过为 SQL 查询中使用的 issuer 或 keyid 参数提供恶意值来利用此漏洞。这些值可能包含旨在操纵数据库的 SQL 代码。例如,攻击者可能会注入代码以从 keycache 表中删除数据或插入虚假数据。成功的利用需要访问接收 issuer 和 keyid 参数的入口点,例如通过 API 或 Web 界面。缺乏对用户输入的验证或清理是此漏洞的根本原因。
Applications that rely on the scitokens library for authentication or authorization, particularly those using SQLite as their database backend, are at risk. Systems with older, unpatched versions of scitokens are especially vulnerable. Development environments and testing systems using scitokens should also be prioritized for patching.
• python / library:
import os
import sqlite3
def check_scitokens_version():
try:
import scitokens
version = scitokens.__version__
if version <= '1.8.1':
print(f"scitokens version is vulnerable: {version}")
else:
print(f"scitokens version is patched: {version}")
except ImportError:
print("scitokens is not installed.")
check_scitokens_version()• python / file: Examine src/scitokens/utils/keycache.py for instances of str.format() used with user-supplied data in SQL queries.
• generic web: Monitor application logs for unusual SQL errors or database activity that might indicate an attempted SQL Injection attack.
disclosure
poc
patch
漏洞利用状态
EPSS
0.03% (10% 百分位)
CISA SSVC
CVE-2026-32714 的主要缓解措施是将 scitokens 库更新到 1.9.6 或更高版本。此版本包含一项修正,通过使用安全的方法构建 SQL 查询(例如使用预处理语句)来防止 SQL 注入。此外,重要的是检查您的应用程序代码,以识别任何其他用户提供的数据用于构建 SQL 查询的实例,并应用类似的安全性措施。实施应用程序依赖项的定期更新策略对于维持安全性至关重要。
请将 SciTokens 库更新到 1.9.6 或更高版本。这将修复 KeyCache 类中的 SQL 注入 (SQL Injection) 漏洞。可以使用 pip 包管理器进行更新:`pip install --upgrade scitokens`。
漏洞分析和关键警报直接发送到您的邮箱。
SQL 注入是一种攻击技术,允许攻击者将恶意 SQL 代码注入到 SQL 查询中,从而可能在数据库上执行任意命令。
如果您正在使用 1.9.6 之前的版本的 scitokens 库,则您的应用程序将容易受到 SQL 注入攻击。这可能允许攻击者访问或修改您数据库中的敏感数据。
如果您无法立即更新,请考虑实施额外的安全措施,例如验证和清理用户输入,并在您的 SQL 查询中使用预处理语句。
您可以在漏洞数据库(例如 NIST 的国家漏洞数据库 (NVD))中找到有关 CVE-2026-32714 的更多信息。
是的,有几种静态和动态分析工具可以帮助您检测代码中的 SQL 注入漏洞。
CVSS 向量
上传你的 requirements.txt 文件,立即知道是否受影响。