HIGHCVE-2026-32727CVSS 8.1

CVE-2026-32727：SciTokens < 1.9.7 路径遍历漏洞

Q: CVE-2026-32727 是什么 — SciTokens 中的 Path Traversal？

SciTokens 是一个用于生成和使用 SciToken 的参考库，用于应用程序中的授权和访问控制。

Q: SciTokens 中的 CVE-2026-32727 是否会影响我？

升级到 1.9.7 版本会修复路径遍历漏洞，该漏洞可能允许攻击者访问未经授权的资源。

Q: 如何修复 SciTokens 中的 CVE-2026-32727？

您可以检查 `setup.py` 或 `package.json` 文件来检查您的 SciTokens 版本，具体取决于您安装库的方式。

Q: CVE-2026-32727 是否正在被积极利用？

作为临时措施，请考虑在您的应用程序中实施额外的路径验证，以防止访问未经授权的目录。

Q: 在哪里可以找到 SciTokens 关于 CVE-2026-32727 的官方安全通告？

您可以在 SciTokens 官方文档和 CVE 等漏洞数据库中找到有关 SciTokens 和此漏洞的更多信息。

平台

python

组件

scitokens

修复版本

1.9.8

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年3月

在NVD查看

保存

CVE-2026-32727是SciTokens参考库中发现的路径遍历漏洞。该漏洞存在于1.9.7之前的版本中，由于Enforcer在比较授权路径和请求路径之前对两者进行规范化，导致攻击者可以使用token范围声明中的点点(..)来逃逸目录限制。该漏洞影响1.9.7之前的版本。已在SciTokens 1.9.7版本中修复。

影响与攻击场景

SciTokens 中的 CVE-2026-32727 影响了 Enforcer 库，使其容易受到路径遍历攻击。在 1.9.7 版本之前，攻击者可以通过使用 '..' 序列来操纵 SciToken 的 'scope' 断言，从而绕过预期的目录限制。这是因为库在比较之前会使用 'startswith' 对来自令牌的授权路径和来自应用程序的请求路径进行标准化。如果应用程序使用 SciTokens 来控制基于路径的资源访问，那么此漏洞可能允许攻击者访问未经授权的文件或目录，从而危及应用程序的安全性及其底层数据。严重程度评分为 CVSS 8.1，表明存在中等风险。

利用背景

如果攻击者拥有有效的 SciToken（即使不一定具有正确的权限），则他们可能会利用此漏洞。通过修改令牌的 'scope' 断言以包含指向预期范围之外目录的 '..' 序列，攻击者可能会欺骗 Enforcer 允许访问这些资源。利用难度取决于应用程序的复杂性和有效令牌的可用性。在令牌生成和分发过程中缺乏适当验证的环境中，利用的可能性更高。

哪些人处于风险中翻译中…

Applications that rely on SciTokens for authentication and authorization, particularly those that handle user-supplied data in the scope claim, are at risk. This includes applications with custom authentication flows or those integrating SciTokens into legacy systems. Shared hosting environments where multiple applications share the same server and file system are also at increased risk.

检测步骤翻译中…

• python / library: Inspect SciTokens library versions in your Python projects.

pip show scitokens

• python / library: Check for usage of SciTokens with potentially untrusted scope claims in your application code. • generic web: Monitor application logs for unusual file access patterns or errors related to file paths. • generic web: Implement input validation on the application side to sanitize the scope claim before processing it.

攻击时间线

2026-03-31Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.05% (15% 百分位)

CISA SSVC

利用情况poc

可自动化no

技术影响total

受影响的软件

组件scitokens

供应商scitokens

影响范围修复版本

< 1.9.7 – < 1.9.71.9.8

弱点分类 (CWE)

CWE-22

时间线

已保留2026-03-13
发布日期2026-03-31
修改日期2026-04-02
EPSS 更新日期2026-04-07

披露后-17天发布补丁

缓解措施和替代方案

此漏洞的解决方案是升级到 SciTokens 库的 1.9.7 或更高版本。此版本更正了路径处理方式，从而防止了路径遍历攻击的可能性。建议尽快执行此升级以降低风险。此外，请检查使用 SciTokens 的应用程序代码，以确保不存在与路径处理和输入验证相关的其他漏洞。实施强大的输入验证，包括令牌断言验证，是一种通用的安全最佳实践。

修复方法

请将 SciTokens 库更新到 1.9.7 或更高版本。此版本修复了范围验证中的路径遍历漏洞，从而阻止攻击者通过在令牌的范围中使用 '..' 来逃避目录限制。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-32727 是什么 — SciTokens 中的 Path Traversal？