CVE-2024-56323

OpenFGA Authorization Bypass

CVSS 5.8 MEDIUMEPSS 0.4%CWE-285

En resumen

OpenFGA, un sistema de autorización, tiene un defecto donde almacena en caché decisiones de permisos de forma incorrecta al usar características avanzadas como condiciones y datos contextuales. Un atacante podría explotar esto para eludir verificaciones de permiso y obtener acceso no autorizado a recursos.

Detalle técnico

CVE-2024-56323 es un bypass de autorización en OpenFGA v1.3.8–v1.8.2 que afecta a las APIs Check/ListObjects cuando se utilizan simultáneamente condiciones y tuplas contextuales con caché de consultas habilitado. La vulnerabilidad resulta del manejo inadecuado del caché de la lógica de autorización condicional, permitiendo que atacantes reutilicen decisiones positivas almacenadas en caché para solicitudes de acceso no autorizado. La mitigación requiere actualizar a v1.8.3 o deshabilitar el caché de consultas.

Resumen generado y traducido por IA a partir de la descripción oficial.

OpenFGA is an authorization/permission engine. IN OpenFGA v1.3.8 to v1.8.2 (Helm chart openfga-0.1.38 to openfga-0.2.19, docker v1.3.8 to v.1.8.2) are vulnerable to authorization bypass under the following conditions: 1. calling Check API or ListObjects with a model that uses [conditions](https://openfga.dev/docs/modeling/conditions), and 2. calling Check API or ListObjects API with [contextual tuples](https://openfga.dev/docs/concepts#what-are-contextual-tuples) that include conditions and 3. OpenFGA is configured with caching enabled (`OPENFGA_CHECK_QUERY_CACHE_ENABLED`). Users are advised to upgrade to v1.8.3. There are no known workarounds for this vulnerability.

CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:N/VI:N/VA:N/SC:H/SI:H/SA:H

Productos afectados

openfga · openfga

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/openfga/openfga/security/advisories/GHSA-32q6-rr98-cjqv