Samyghannad

**Nome do Software Vulnerável e Versões Afetadas** etcd versões anteriores a 3.4.44 etcd versões anteriores a 3.5.30 etcd versões anteriores a 3.6.11 **Descrição** o etcd é um armazenamento de chave-valor distribuído para dados de sistemas distribuídos. Uma falha permite que usuários autenticados sem permissões suficientes de leitura ou relacionadas a concessões (leases) ignorem as verificações de autorização de Controle de Acesso Baseado em Função (RBAC). Isso ocorre ao invocar operações de transação que utilizam acesso de leitura via `PrevKv` ou anexo de concessão em requisições 'Put', permitindo potencialmente o acesso a dados não autorizados ou o anexo de concessões. **Recomendações** Atualize para a versão 3.4.44. Atualize para a versão 3.5.30. Atualize para a versão 3.6.11. Restrinja o acesso de rede às portas do servidor etcd para garantir que apenas componentes confiáveis possam se conectar. Exija a identidade forte do cliente na camada de transporte, como mTLS com distribuição de certificados de cliente rigorosamente definida.

**Nome do software vulnerável e versões afetadas** OpenFGA versão 0.3.0 **Descrição** O OpenFGA é um mecanismo de autorização/permissão desenvolvido para desenvolvedores e inspirado no Google Zanzibar. Durante uma avaliação interna de segurança, descobriu-se que o OpenFGA é vulnerável à contornagem de autorização sob certas condições. O problema ocorre quando um modelo que utiliza a linguagem de modelagem v1.1 aplica uma restrição de tipo a um objeto e, em seguida, o modelo é atualizado com a adição de um novo tipo e a substituição da restrição anterior. Isso pode levar a acesso não autorizado. **Recomendações** Para o OpenFGA versão 0.3.0, atualize para a versão 0.3.1 para corrigir o problema de contorno de autorização. Esta atualização é compatível com versões anteriores.

**Nome do software vulnerável e versões afetadas** Versões do OpenFGA anteriores à 0.2.5 **Descrição** O OpenFGA é um mecanismo de autorização/permissão de alto desempenho inspirado no Google Zanzibar. A vulnerabilidade permite a contornar a autorização sob certas condições, especificamente quando uma tupla com um curinga (*) é atribuída a uma relação de conjunto de tuplas, que é o lado direito de uma instrução ‘from’. Isso afeta modelos de autorização que utilizam curinga em uma relação de conjunto de tuplas. **Recomendações** Atualize para a versão 0.2.5, observando que esta atualização não é compatível com versões anteriores de nenhum modelo de autorização que utilize curinga em uma relação de conjunto de tuplas. Se estiver usando tuplas nas quais o campo `user` está definido como um `userset` e a relação da tupla é utilizada no lado direito de uma instrução `from`, essas tuplas precisarão ser reescritas.

**Nome do software vulnerável e versões afetadas** openfga/openfga versões 0.2.3 e anteriores **Descrição** O OpenFGA é um mecanismo de autorização/permissão. O endpoint `streamed-list-objects` não estava validando o cabeçalho de autorização, resultando na divulgação de objetos no armazenamento. Os usuários que expõem o serviço OpenFGA à Internet estão vulneráveis. **Recomendações** Para as versões 0.2.3 e anteriores do openfga/openfga, atualize para a versão 0.2.4 para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint `streamed-list-objects` até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do OpenFGA anteriores à 0.2.4 **Descrição** O OpenFGA é um mecanismo de autorização/permissão. A vulnerabilidade permite a contornagem da autorização sob certas condições, especificamente quando os usuários têm um curinga (`*`) definido nas relações de tupleset em seu modelo de autorização. **Recomendações** Atualize para a versão 0.2.4 para resolver o problema. Como solução temporária, considere restringir o uso do curinga (`*`) em relações de tuplos no modelo de autorização até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do OpenFGA anteriores à 0.2.4 **Descrição** O OpenFGA é um mecanismo de autorização/permissão. O problema diz respeito à possibilidade de contornar a autorização sob certas condições, especificamente quando uma relação é definida como um conjunto de tuplas envolvendo qualquer coisa que não seja uma relação direta, como ‘as self’. **Recomendações** Para versões anteriores à 0.2.4, atualize para a versão 0.2.4 para resolver o problema. Observe que esta atualização não é compatível com versões anteriores, e qualquer modelo que envolva relações de conjuntos de tuplas reescritas precisará ser modificado para ser aceitável.