Vulnerabilidad en SpiceDB (CVE-2024-32001)
Gravedad CVSS v3.1:
BAJA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
10/04/2024
Última modificación:
02/09/2025
Descripción
SpiceDB es una base de datos gráfica manipulada específicamente para almacenar y evaluar datos de control de acceso. Uso de una relación de la forma: `relation folder: folder | folder#parent` con una flecha como `folder->view` puede hacer que LookupSubjects solo devuelva los asuntos encontrados en los asuntos de `folder` o `folder#parent`. Este error solo se manifiesta si el mismo tipo de asunto se usa en varios tipos en una relación, existen relaciones para ambos tipos de asunto y se usa una flecha sobre la relación. Cualquier usuario que tome una decisión de autorización negativa basada en los resultados de una solicitud de LookupSubjects con una versión anterior a la v1.30.1 se verá afectado. La versión 1.30.1 contiene un parche para el problema. Como workaround, evite el uso de LookupSubjects para decisiones de autorización negativas y/o evite el uso del esquema roto.
Impacto
Puntuación base 3.x
2.20
Gravedad 3.x
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:authzed:spicedb:*:*:*:*:*:*:*:* | 1.30.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/authzed/spicedb/commit/a244ed1edfaf2382711dccdb699971ec97190c7b
- https://github.com/authzed/spicedb/releases/tag/v1.30.1
- https://github.com/authzed/spicedb/security/advisories/GHSA-j85q-46hg-36p2
- https://github.com/authzed/spicedb/commit/a244ed1edfaf2382711dccdb699971ec97190c7b
- https://github.com/authzed/spicedb/releases/tag/v1.30.1
- https://github.com/authzed/spicedb/security/advisories/GHSA-j85q-46hg-36p2