Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en OPA (CVE-2022-23628)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
09/02/2022
Última modificación:
17/02/2022

Descripción

OPA es un motor de políticas de propósito general y de código abierto. Bajo determinadas condiciones, la impresión bonita de un árbol de sintaxis abstracta (AST) que contiene nodos sintéticos podría cambiar la lógica de algunas sentencias al reordenar los literales del array. Un ejemplo de políticas afectadas son las que analizan y comparan las rutas web. **Todas estas** tres condiciones tienen que cumplirse para crear un efecto adverso: 1. Un AST de Rego tuvo que ser **creado programáticamente** de tal manera que termina conteniendo términos sin ubicación (como variables comodín). 2. El AST tuvo que ser **impreso** usando el paquete "github.com/open-policy-agent/opa/format". 3. El resultado de la impresión bonita tuvo que ser **analizado y evaluado de nuevo** por medio de una instancia OPA usando los paquetes, o los paquetes Golang. Si alguna de estas tres condiciones no es cumplida, no está afectado. En particular, las tres condiciones son cumplidas si son usados **paquetes optimizados**, es decir, paquetes creados con "opa build -O=1" o superior. En ese caso, el optimizador cumpliría la condición (1.), cuyo resultado sería impreso al escribir el bundle en el disco, cumpliendo (2.). Cuando es usado el paquete, se cumpliría (3.). Como medida de mitigación solución, los usuarios pueden deshabilitar la optimización cuando son creados los paquetes

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.30 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Vector 2.0
AV:N/AC:M/Au:N/C:N/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 4.30 MEDIA
Vector: AV:N/AC:M/Au:N/C:N/I:P/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno

Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:openpolicyagent:open_policy_agent:*:*:*:*:*:*:*:* 0.33.1 (incluyendo) 0.37.0 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información