CVE-2022-39342

OpenFGA Authorization Bypass

CVSS 5.9 MEDIUMEPSS 0.9%CWE-285

En resumen

OpenFGA, un motor de autorización, tiene una falla que permite eludir verificaciones de permiso en ciertas configuraciones. Esto ocurre cuando el modelo de permisos utiliza definiciones complejas de relaciones, permitiendo potencialmente acceso no autorizado a recursos protegidos.

Detalle técnico

OpenFGA en versiones anteriores a 0.2.4 contiene una vulnerabilidad de bypass de autorización (CWE-285) que afecta modelos con relaciones de tupleset que involucran relaciones no-directas. Un atacante con conocimiento de la estructura del modelo de autorización puede formular solicitudes que eludan la lógica de validación de permisos, ignorando los controles de acceso previstos.

Resumen generado y traducido por IA a partir de la descripción oficial.

OpenFGA is an authorization/permission engine. Versions prior to version 0.2.4 are vulnerable to authorization bypass under certain conditions. Users whose model has a relation defined as a tupleset (the right hand side of a ‘from’ statement) that involves anything other than a direct relationship (e.g. ‘as self’) are vulnerable. Version 0.2.4 contains a patch for this issue.

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N

Productos afectados

openfga · openfga

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/openfga/openfga/commit/c8db1ee3d2a366f18e585dd33236340e76e784c4 https://github.com/openfga/openfga/releases/tag/v0.2.4 https://github.com/openfga/openfga/security/advisories/GHSA-f4mm-2r69-mg5f