← voltar
CVE-2023-40579

OpenFGA Authorization Bypass

CVSS 6.5 MEDIUMEPSS 0.5%CWE-284
Em resumo

O OpenFGA versão 1.3.0 e anteriores possuem uma falha na API ListObjects que permite acesso não autorizado a objetos em certos modelos de permissão. Atacantes conseguem contornar verificações de autorização quando o modelo usa expressões específicas de relacionamento, podendo expor dados que não deveriam acessar.

Detalhe técnico

A API ListObjects do OpenFGA ≤1.3.0 falha em aplicar corretamente verificações de autorização quando modelos de permissão contêm expressões de relacionamento do tipo 'rel1 from type1'. Isso permite que atacantes enumerem ou acessem objetos sem permissão, contornando controles de acesso planejados. O problema foi corrigido na versão 1.3.1.

Resumo gerado e traduzido por IA a partir da descrição oficial.
OpenFGA is an authorization/permission engine built for developers and inspired by Google Zanzibar. Some end users of OpenFGA v1.3.0 or earlier are vulnerable to authorization bypass when calling the ListObjects API. The vulnerability affects customers using `ListObjects` with specific models. The affected models contain expressions of type `rel1 from type1`. This issue has been patched in version 1.3.1.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Produtos afetados
openfga · openfga

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://github.com/openfga/openfga/releases/tag/v1.3.1https://github.com/openfga/openfga/security/advisories/GHSA-jcf2-mxr2-gmqp