SciTokens — это справочная библиотека для создания и использования SciTokens. До версии 1.9.6 Enforcer неправильно проверял пути к областям, используя простое совпадение префикса (начинается с). Это позволяет токену с доступом к определенному пути (например, /john) также получать доступ к одноуровневым путям, которые начинаются с того же префикса (например, /johnathan, /johnny), что является обходом авторизации.
Эта проблема исправлена в версии 1.9.6.
Показать оригинальное описание (EN)
SciTokens is a reference library for generating and using SciTokens. Prior to version 1.9.6, the Enforcer incorrectly validates scope paths by using a simple prefix match (startswith). This allows a token with access to a specific path (e.g., /john) to also access sibling paths that start with the same prefix (e.g., /johnathan, /johnny), which is an Authorization Bypass. This issue has been patched in version 1.9.6.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Scitokens Scitokens_Library
cpe:2.3:a:scitokens:scitokens_library:*:*:*:*:*:*:*:*
|
— |
1.9.6
|