Johanneslarsson

**Nome do software vulnerável e versões afetadas** Versões do Open Policy Agent (OPA) anteriores à 0.37.2 **Descrição** A formatação de uma árvore de sintaxe abstrata (AST) que contenha nós sintéticos pode alterar a lógica de algumas instruções ao reordenar literais de matriz. Esta vulnerabilidade afeta políticas que analisam e comparam caminhos da web. Três condições devem ser atendidas para que ocorra um efeito adverso: 1. Uma AST do Rego precisava ser criada programaticamente de forma que acabasse contendo termos sem localização (como variáveis curinga). 2. A AST precisava ser formatada usando o pacote `github.com/open-policy-agent/opa/format`. 3. O resultado da formatação precisava ser analisado e avaliado novamente por meio de uma instância do OPA usando os pacotes ou os pacotes Golang. Notavelmente, todas as três condições seriam verdadeiras se fossem usados pacotes otimizados, ou seja, pacotes criados com `opa build -O=1` ou superior. **Recomendações** Para resolver o problema, atualize para a versão 0.37.2 ou posterior. Como solução alternativa temporária, considere desativar a otimização ao criar pacotes, não usando o sinalizador `-O=1` ou superior com o comando `opa build`.