Vulnerabilidad en Spicedb (CVE-2024-38361)
Gravedad CVSS v3.1:
BAJA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
20/06/2024
Última modificación:
02/09/2025
Descripción
Spicedb es una base de datos de permisos de código abierto inspirada en Google Zanzíbar para permitir una autorización detallada para las aplicaciones de los clientes. El uso de una exclusión debajo de una flecha que tiene múltiples recursos puede resolverse como "NO_PERMISSION" cuando se espera permiso. Si el recurso existe en *múltiples* carpetas y el usuario tiene acceso para ver más de una carpeta, SpiceDB puede informar que el usuario no tiene acceso debido a una falla en el despachador de exclusión al solicitar que *todas* las carpetas en las que se encuentra el recurso. El usuario es miembro y se devolverá. El permiso se devuelve como "NO_PERMISSION" cuando se espera "PERMISSION" en la API "CheckPermission". Este problema se solucionó en la versión 1.33.1. Se recomienda a todos los usuarios que actualicen. No se conocen workarounds para este problema.
Impacto
Puntuación base 3.x
3.70
Gravedad 3.x
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:authzed:spicedb:*:*:*:*:*:*:*:* | 1.33.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/authzed/spicedb/commit/ecef31d2b266fde17eb2c3415e2ec4ceff96fbeb
- https://github.com/authzed/spicedb/security/advisories/GHSA-grjv-gjgr-66g2
- https://github.com/authzed/spicedb/commit/ecef31d2b266fde17eb2c3415e2ec4ceff96fbeb
- https://github.com/authzed/spicedb/security/advisories/GHSA-grjv-gjgr-66g2