CVE-2022-39341
OpenFGA Authorization Bypass
Em resumo
OpenFGA, um sistema de autorização, tinha uma falha onde caracteres curinga nas regras de permissão podiam ser contornados, permitindo acesso não autorizado. Isso importa porque compromete a segurança de aplicações que dependem do OpenFGA para proteger operações sensíveis.
Detalhe técnico
Versões do OpenFGA anteriores à 0.2.4 contêm uma vulnerabilidade de bypass de autorização em relações de tupleset com definições de curinga (`*`) no modelo de autorização. Atacantes podem explorar isso para contornar controles de acesso intencionais sem exigir privilege escalation ou bypass de autenticação, resultando em acesso não autorizado a recursos protegidos.
Resumo gerado e traduzido por IA a partir da descrição oficial.
OpenFGA is an authorization/permission engine. Versions prior to version 0.2.4 are vulnerable to authorization bypass under certain conditions. Users who have wildcard (`*`) defined on tupleset relations in their authorization model are vulnerable. Version 0.2.4 contains a patch for this issue.
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N
Produtos afetados
openfga · openfgaQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →