O WPA2 usa o AES-CCMP. CCMP significa Counter-mode CBC-MAC Protocol. CBC-MAC significa Códigos de Autenticação de Mensagem do Cipher Block Encadeamento. Esses Message Authentication Codes (MACs) protegem contra falsificações e replays.
Não tenho certeza, mas acho que mesmo que você tenha a senha e o SSID WPA2 da rede, que permite saber derivar o PSK (Pre-Shared Key) que é o PMK (Pairwise Master Key), e mesmo se você captura o handshake WPA2 quando um cliente entra, para que você obtenha as nonces que permitem determinar o PTK (Pairwise Temporal Key) e o resto da hierarquia de chaves do cliente, acho que esses CBC-MACs ainda dificultariam forjar quadros como se eles vieram daquele cliente (ou forjar quadros do AP para aquele cliente, como se eles viessem do AP).
Disse outra maneira:
Conhecer a senha WPA2-PSK e o SSID da rede e, em seguida, capturar o handshake WPA2 do cliente alvo quando ele (re) se unir à rede é o suficiente para permitir que você descriptografe o tráfego em qualquer direção entre esse cliente e o AP. Mas acho que os CBC-MACs ainda dificultariam forjar ou até mesmo reproduzir pacotes entre esses dois dispositivos. Mas eu posso estar errado neste ponto.
Estou tentando responder se é teoricamente possível, ou não, dados os protocolos de segurança. Uma questão separada é se o scapy contém código para fazer isso por você. Eu não estou muito familiarizado com o scapy, então eu não posso responder essa parte para você. Mas se scapy tiver o código para forjar os CBC-MACs, provavelmente é uma boa indicação de que é possível em redes WPA2-PSK.
O WPA2-Enterprise (com 802.1X) é outra história, porque o WPA2-Enterprise cria novos PMKs toda vez que um cliente (re) se associa, portanto, mesmo que você capture o handshake WPA2 do cliente alvo, você não tem as informações precisa derivar a hierarquia de chaves e descriptografar o tráfego desse cliente.