PT-2024-32323 · Spicedb · Spicedb
Tim-Mod
·
Publicado
2024-09-18
·
Atualizado
2024-09-25
·
CVE-2024-46989
CVSS v4.0
6.3
Média
| Vetor | AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do spicedb anteriores à 1.35.3
Descrição
O problema surge quando várias restrições são aplicadas ao mesmo tipo de sujeito indireto na mesma relação, o que pode resultar na não devolução de permissão quando se espera que haja permissão. Isso pode ocorrer se um recurso tiver vários grupos e cada grupo estiver sujeito a restrições. A API
CheckPermission pode retornar NO PERMISSION quando se espera PERMISSION.Recomendações
Para versões anteriores à 1.35.3, atualize para a versão 1.35.3 para resolver o problema.
Como solução alternativa temporária para usuários que não podem atualizar, considere não usar restrições ou evitar o uso de restrições em um tipo de sujeito indireto com várias entradas.
Exploit
Correção
Improper Privilege Management
Improper Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Spicedb