SciTokens C++ — это минимальная библиотека для создания и использования SciTokens на языке C или C++. До версии 1.4.1 scitokens-cpp уязвим для обхода авторизации при обработке областей на основе пути в токенах. Библиотека нормализует путь области действия от токена перед авторизацией и сворачивает компоненты пути «..», а не отклоняет их.
В результате злоумышленник может использовать обход родительского каталога в утверждении области, чтобы расширить эффективную авторизацию за пределы предполагаемого каталога. Эта проблема исправлена в версии 1.4.1.
Показать оригинальное описание (EN)
SciTokens C++ is a minimal library for creating and using SciTokens from C or C++. Prior to version 1.4.1, scitokens-cpp is vulnerable to an authorization bypass when processing path-based scopes in tokens. The library normalizes the scope path from the token before authorization and collapses ".." path components instead of rejecting them. As a result, an attacker can use parent-directory traversal in the scope claim to broaden the effective authorization beyond the intended directory. This issue has been patched in version 1.4.1.
Характеристики атаки
Последствия
Строка CVSS v3.1