HIGHCVE-2026-32716CVSS 8.1

CVE-2026-32716：SciTokens < 1.9.6 授权绕过漏洞

Q: CVE-2026-32716 是什么 — scitokens 中的漏洞？

范围定义了令牌可以访问的资源集合。它用于控制应用程序中数据和功能访问。

Q: scitokens 中的 CVE-2026-32716 是否会影响我？

范围验证对于确保令牌只能访问其授权访问的资源至关重要。验证不正确可能导致授权绕过和未经授权的访问。

Q: 如何修复 scitokens 中的 CVE-2026-32716？

如果无法立即升级，请考虑实施其他缓解措施，例如限制对最敏感资源的访问，并监控令牌活动是否存在可疑模式。

Q: CVE-2026-32716 是否正在被积极利用？

升级后，请彻底测试您的应用程序，以确保范围验证按预期工作。检查审计日志是否存在任何异常活动。

Q: 在哪里可以找到 scitokens 关于 CVE-2026-32716 的官方安全通告？

升级到 1.9.6 版本可能会对性能产生 minimal 的影响，但预计在大多数情况下可以忽略不计。建议在升级后进行性能测试。

平台

python

组件

scitokens

修复版本

1.9.7

1.9.6

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年3月

在NVD查看

保存

CVE-2026-32716是SciTokens参考库中发现的授权绕过漏洞。该漏洞存在于1.9.6之前的版本中，由于Enforcer使用简单的前缀匹配验证范围路径，导致攻击者可以访问未授权的路径。该漏洞影响1.9.6之前的版本。已在SciTokens 1.9.6版本中修复。

影响与攻击场景

Scitokens 中的 CVE-2026-32716 由于范围路径验证不正确，可能导致授权绕过。Enforcer 组件使用简单的前缀匹配 (startswith) 来验证这些范围。这意味着具有对特定路径（例如 /john）访问权限的令牌也可以访问共享相同前缀的兄弟路径（例如 /johnathan、/johnny）。范围验证中的此错误允许攻击者访问未经授权的资源，从而危及应用程序安全。

利用背景

攻击者可以通过创建具有对特定路径访问权限的令牌，然后使用该令牌访问共享相同前缀的其他路径来利用此漏洞。这可能允许攻击者访问敏感数据或执行未经授权的操作。在其中使用范围来控制对敏感资源访问的环境中，风险更高。

哪些人处于风险中翻译中…

Applications and services that rely on SciTokens for authentication and authorization, particularly those with complex or hierarchical scope structures, are at risk. Shared hosting environments where multiple applications share the same SciTokens instance are also particularly vulnerable, as a compromise in one application could potentially impact others.

检测步骤翻译中…

• python / application: Examine application logs for unusual access patterns or requests to sibling paths after authentication. • python / application: Review SciTokens configuration files for overly permissive scope definitions. • python / application: Monitor for modifications to src/scitokens/scitokens.py file, specifically the validatescp and validatescope methods.

import os
import hashlib

def check_scitokens_version():
    try:
        import scitokens
        version = scitokens.__version__
        print(f"SciTokens version: {version}")
        if version <= '1.8.1':
            print("WARNING: Vulnerable to CVE-2026-32716. Upgrade recommended.")
        else:
            print("SciTokens version is up to date.")
    except ImportError:
        print("SciTokens is not installed.")

check_scitokens_version()

攻击时间线

2026-03-31Disclosure
disclosure
2026-03-31Patch
patch

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.03% (9% 百分位)

CISA SSVC

利用情况poc

可自动化no

技术影响total

受影响的软件

组件scitokens

供应商osv

影响范围修复版本

< 1.9.6 – < 1.9.61.9.7

—1.9.6

弱点分类 (CWE)

CWE-285

时间线

已保留2026-03-13
发布日期2026-03-31
EPSS 更新日期2026-04-07

披露后-17天发布补丁

缓解措施和替代方案

为了减轻此漏洞，请将 Scitokens 升级到 1.9.6 或更高版本。此版本通过实施更严格的范围验证来修复此问题。请务必查阅 Scitokens 文档，了解有关如何升级以及如何验证已正确实施修复程序的详细说明。此外，请审查您的 Scitokens 配置，以确保范围定义尽可能具有限制性，仅将访问限制为必要的资源。

修复方法

请将 SciTokens 库更新到 1.9.6 或更高版本。此版本修复了范围路径的错误验证，从而避免了授权绕过。您可以使用 Python 包管理器 (pip) 通过以下命令进行更新：`pip install --upgrade scitokens`。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-32716 是什么 — scitokens 中的漏洞？