CVE-2023-35933
OpenFGA denial of service die to circular relationship
Em resumo
OpenFGA versões 1.1.0 e anteriores travam quando processam verificações de autorização contra modelos com relacionamentos circulares, deixando o serviço indisponível.
Detalhe técnico
Uma vulnerabilidade de negação de serviço existe no OpenFGA v1.1.0 e anterior quando chamadas Check ou ListObjects são feitas contra modelos de autorização contendo relacionamentos circulares, desencadeando loops infinitos (CWE-835) que esgotam recursos e travem o serviço. O ataque requer submeter chamadas API legítimas a uma instância OpenFGA vulnerável; não há bypass de autenticação necessário se a API estiver exposta.
Resumo gerado e traduzido por IA a partir da descrição oficial.
OPenFGA is an open source authorization/permission engine built for developers. OpenFGA versions v1.1.0 and prior are vulnerable to a DoS attack when Check and ListObjects calls are executed against authorization models that contain circular relationship definitions. Users are affected by this vulnerability if they are using OpenFGA v1.1.0 or earlier, and if you are executing `Check` or `ListObjects` calls against a vulnerable authorization model. Users are advised to upgrade to version 1.1.1. There are no known workarounds for this vulnerability. Users that do not have circular relationships in their models are not affected.
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H
Produtos afetados
openfga · openfgaQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →