CVE-2024-42473
OpenFGA Authorization Bypass
En resumen
Las versiones 1.5.7 y 1.5.8 de OpenFGA tienen un defecto en la API Check que evalúa incorrectamente permisos al usar expresiones `but not` y `from` con conjuntos de usuarios, permitiendo accesos no autorizados que deberían ser denegados.
Detalle técnico
Existe una vulnerabilidad de desvío de autorización en la API Check de OpenFGA al procesar modelos de autorización que contienen expresiones `but not` y `from` combinadas con usersets. El fallo ocurre en la lógica de evaluación de permisos, permitiendo que solicitudes de acceso que deberían fallar superen la verificación. Las versiones afectadas son 1.5.7 y 1.5.8; se recomienda hacer downgrade a 1.5.6 como mitigación.
Resumen generado y traducido por IA a partir de la descripción oficial.
OpenFGA is an authorization/permission engine. OpenFGA v1.5.7 and v1.5.8 are vulnerable to authorization bypass when calling Check API with a model that uses `but not` and `from` expressions and a userset. Users should downgrade to v1.5.6 as soon as possible. This downgrade is backward compatible. As of time of publication, a patch is not available but OpenFGA's maintainers are planning a patch for inclusion in a future release.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
Productos afectados
openfga · openfga¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →