← voltar
CVE-2023-45810

OpenFGA denial of service

CVSS 5.3 MEDIUMEPSS 0.5%CWE-400
Em resumo

O OpenFGA, um mecanismo de autorização, pode ficar indisponível quando muitas requisições ListObjects são feitas, porque a aplicação não libera corretamente a memória e recursos após responder. Um atacante pode enviar chamadas suficientes para deixar o serviço inacessível aos usuários legítimos.

Detalhe técnico

O OpenFGA em versões anteriores à 1.3.4 contém uma vulnerabilidade de esgotamento de recursos (CWE-400) na operação ListObjects, onde o tratamento de respostas não desaloca adequadamente memória e recursos do sistema. Um atacante remoto não autenticado pode provocar negação de serviço enviando um alto volume de requisições ListObjects, causando consumo cumulativo de recursos e indisponibilidade do serviço.

Resumo gerado e traduzido por IA a partir da descrição oficial.
OpenFGA is a flexible authorization/permission engine built for developers and inspired by Google Zanzibar. Affected versions of OpenFGA are vulnerable to a denial of service attack. When a number of `ListObjects` calls are executed, in some scenarios, those calls are not releasing resources even after a response has been sent, and given a sufficient call volume the service as a whole becomes unresponsive. This issue has been addressed in version 1.3.4 and the upgrade is considered backwards compatible. There are no known workarounds for this vulnerability.
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H
Produtos afetados
openfga · openfga

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://github.com/openfga/openfga/security/advisories/GHSA-hr4f-6jh8-f2vq