CVE-2024-31452
OpenFGA Authorization Bypass
Em resumo
O OpenFGA versão 1.5.0 ou posterior possui uma falha que permite invasores contornarem verificações de permissão quando usando regras de exclusão ou interseção (como 'permitir A mas não B'). Isso significa que usuários não autorizados poderiam acessar recursos que não deveriam.
Detalhe técnico
CVE-2024-31452 afeta as APIs Check e ListObjects do OpenFGA quando o modelo de autorização usa operadores de exclusão ou interseção. Um atacante pode elaborar requisições que contornam a lógica de permissão pretendida, potencialmente obtendo acesso não autorizado a recursos restritos. A vulnerabilidade é corrigida na versão 1.5.3.
Resumo gerado e traduzido por IA a partir da descrição oficial.
OpenFGA is a high-performance and flexible authorization/permission engine. Some end users of OpenFGA v1.5.0 or later are vulnerable to authorization bypass when calling Check or ListObjects APIs. You are very likely affected if your model involves exclusion (e.g. `a but not b`) or intersection (e.g. `a and b`). This vulnerability is fixed in v1.5.3.
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
openfga · openfgaQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →