CVE-2023-45810

OpenFGA denial of service

CVSS 5.3 MEDIUMEPSS 0.5%CWE-400

En resumen

OpenFGA, un motor de autorización, puede volverse no disponible cuando se realizan muchas solicitudes ListObjects porque la aplicación no libera correctamente la memoria y los recursos después de responder. Un atacante puede enviar suficientes llamadas para hacer que el servicio sea inaccesible para usuarios legítimos.

Detalle técnico

OpenFGA en versiones anteriores a la 1.3.4 contiene una vulnerabilidad de agotamiento de recursos (CWE-400) en la operación ListObjects donde el manejo de respuestas no desasigna adecuadamente memoria y recursos del sistema. Un atacante remoto no autenticado puede provocar una denegación de servicio enviando un alto volumen de solicitudes ListObjects, causando consumo acumulativo de recursos e indisponibilidad del servicio.

Resumen generado y traducido por IA a partir de la descripción oficial.

OpenFGA is a flexible authorization/permission engine built for developers and inspired by Google Zanzibar. Affected versions of OpenFGA are vulnerable to a denial of service attack. When a number of `ListObjects` calls are executed, in some scenarios, those calls are not releasing resources even after a response has been sent, and given a sufficient call volume the service as a whole becomes unresponsive. This issue has been addressed in version 1.3.4 and the upgrade is considered backwards compatible. There are no known workarounds for this vulnerability.

CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H

Productos afectados

openfga · openfga

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/openfga/openfga/security/advisories/GHSA-hr4f-6jh8-f2vq