CVE-2024-42473
OpenFGA Authorization Bypass
Em resumo
As versões 1.5.7 e 1.5.8 do OpenFGA possuem um erro na API Check que avalia incorretamente permissões quando usa expressões `but not` e `from` com conjuntos de usuários, permitindo acessos não autorizados que deveriam ser bloqueados.
Detalhe técnico
Existe uma vulnerabilidade de desvio de autorização na API Check do OpenFGA ao processar modelos de autorização contendo expressões `but not` e `from` combinadas com usersets. A falha ocorre na lógica de avaliação de permissões, permitindo que requisições de acesso que deveriam falhar passem pela verificação. As versões afetadas são 1.5.7 e 1.5.8; downgrade para 1.5.6 é recomendado como mitigação.
Resumo gerado e traduzido por IA a partir da descrição oficial.
OpenFGA is an authorization/permission engine. OpenFGA v1.5.7 and v1.5.8 are vulnerable to authorization bypass when calling Check API with a model that uses `but not` and `from` expressions and a userset. Users should downgrade to v1.5.6 as soon as possible. This downgrade is backward compatible. As of time of publication, a patch is not available but OpenFGA's maintainers are planning a patch for inclusion in a future release.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
Produtos afetados
openfga · openfgaQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →