Vulnerabilidad en OpenFGA (CVE-2024-42473)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

12/08/2024

Última modificación:

01/10/2024

Descripción

OpenFGA es un motor de autorización/permiso. OpenFGA v1.5.7 y v1.5.8 son vulnerables a la omisión de autorización al llamar a Check API con un modelo que usa expresiones "pero no" y "de" y un conjunto de usuarios. Los usuarios deben cambiar a la versión 1.5.6 lo antes posible. Esta degradación es compatible con versiones anteriores. Al momento de la publicación, no hay ningún parche disponible, pero los encargados de mantenimiento de OpenFGA están planeando incluirlo en una versión futura.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

9.80

Gravedad 3.x

CRÍTICA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:openfga:openfga:1.5.7:::::::*
cpe:2.3:a:openfga:openfga:1.5.8:::::::*

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Referencias a soluciones, herramientas e información

https://github.com/openfga/openfga/security/advisories/GHSA-3f6g-m4hr-59h8