CVE-2024-31452
OpenFGA Authorization Bypass
En resumen
OpenFGA versión 1.5.0 o posterior tiene una falla que permite a atacantes eludir verificaciones de permisos cuando se usan reglas de exclusión o intersección (como 'permitir A pero no B'). Esto significa que usuarios no autorizados podrían acceder a recursos que no deberían poder ver.
Detalle técnico
CVE-2024-31452 afecta las APIs Check y ListObjects de OpenFGA cuando el modelo de autorización utiliza operadores de exclusión o intersección. Un atacante puede elaborar solicitudes que eluden la lógica de permiso prevista, obteniendo potencialmente acceso no autorizado a recursos restringidos. La vulnerabilidad se corrige en la versión 1.5.3.
Resumen generado y traducido por IA a partir de la descripción oficial.
OpenFGA is a high-performance and flexible authorization/permission engine. Some end users of OpenFGA v1.5.0 or later are vulnerable to authorization bypass when calling Check or ListObjects APIs. You are very likely affected if your model involves exclusion (e.g. `a but not b`) or intersection (e.g. `a and b`). This vulnerability is fixed in v1.5.3.
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
openfga · openfga¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →