CVE-2022-23542
OpenFGA Authorization Bypass
En resumen
Las versiones de OpenFGA anteriores a la 0.3.1 tienen un defecto que permite a los atacantes eludir las verificaciones de autorización bajo ciertas condiciones, obteniendo acceso no autorizado a recursos o acciones protegidas.
Detalle técnico
OpenFGA 0.3.0 contiene una vulnerabilidad de bypass de autorización (CWE-285) que permite a los atacantes eludir los mecanismos de aplicación de permisos. La vulnerabilidad requiere que se cumplan condiciones previas específicas; la explotación resulta en acceso no autorizado a funcionalidad restringida. El defecto fue remediado en la versión 0.3.1 manteniendo compatibilidad hacia atrás.
Resumen generado y traducido por IA a partir de la descripción oficial.
OpenFGA is an authorization/permission engine built for developers and inspired by Google Zanzibar. During an internal security assessment, it was discovered that OpenFGA version 0.3.0 is vulnerable to authorization bypass under certain conditions. This issue has been patched in version 0.3.1 and is backward compatible.
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:L
Productos afectados
openfga · openfga¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →