PT-2024-24086 · Openfga · Openfga
Miparnisari
·
Publicado
2024-04-16
·
Atualizado
2026-01-05
·
CVE-2024-31452
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
OpenFGA versões 1.5.0 a 1.5.2
Descrição
O problema diz respeito a uma falha de segurança que permite contornar a autorização ao chamar as APIs Check ou ListObjects no OpenFGA. Os usuários provavelmente serão afetados se seus modelos envolverem exclusão (por exemplo,
a, mas não b) ou interseção (por exemplo, a e b), especialmente se houver relações cíclicas.Recomendações
Atualize para a versão 1.5.3 para resolver o problema. Como solução alternativa temporária, considere restringir o uso de modelos de exclusão e interseção, especialmente aqueles com relações cíclicas, até que a atualização seja aplicada.
Exploit
Correção
Incorrect Authorization
Improper Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Openfga