CVE-2024-23820
OpenFGA DoS
En resumen
OpenFGA, un sistema de permisos, tiene un error donde las llamadas repetidas a ListObjects no liberan la memoria correctamente. Si un atacante realiza muchas de estas llamadas, el servidor puede quedarse sin memoria y dejar de funcionar.
Detalle técnico
Una vulnerabilidad de agotamiento de recursos en la función ListObjects de OpenFGA no libera memoria asignada bajo ciertas configuraciones de modelo y tuplas, permitiendo que un atacante provoque denegación de servicio a través de solicitudes repetidas que agotan la memoria del servidor y causan su terminación. El problema fue corregido en la versión 1.4.3.
Resumen generado y traducido por IA a partir de la descripción oficial.
OpenFGA, an authorization/permission engine, is vulnerable to a denial of service attack in versions prior to 1.4.3. In some scenarios that depend on the model and tuples used, a call to `ListObjects` may not release memory properly. So when a sufficiently high number of those calls are executed, the OpenFGA server can create an `out of memory` error and terminate. Version 1.4.3 contains a patch for this issue.
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H
Productos afectados
openfga · openfga¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →