CVE-2023-40579

OpenFGA Authorization Bypass

CVSS 6.5 MEDIUMEPSS 0.5%CWE-284

En resumen

OpenFGA versión 1.3.0 y anteriores tienen una falla en la API ListObjects que permite acceso no autorizado a objetos en ciertos modelos de permisos. Los atacantes pueden eludir verificaciones de autorización cuando el modelo utiliza expresiones de relación específicas, exponiendo potencialmente datos a los que no deberían acceder.

Detalle técnico

La API ListObjects en OpenFGA ≤1.3.0 falla al aplicar correctamente las verificaciones de autorización cuando los modelos de permisos contienen expresiones de relación del tipo 'rel1 from type1'. Esto permite que los atacantes enumeren o accedan a objetos sin permiso, eludiendo los controles de acceso previstos. El problema fue solucionado en la versión 1.3.1.

Resumen generado y traducido por IA a partir de la descripción oficial.

OpenFGA is an authorization/permission engine built for developers and inspired by Google Zanzibar. Some end users of OpenFGA v1.3.0 or earlier are vulnerable to authorization bypass when calling the ListObjects API. The vulnerability affects customers using `ListObjects` with specific models. The affected models contain expressions of type `rel1 from type1`. This issue has been patched in version 1.3.1.

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Productos afectados

openfga · openfga

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/openfga/openfga/releases/tag/v1.3.1 https://github.com/openfga/openfga/security/advisories/GHSA-jcf2-mxr2-gmqp