Vulnerabilidad en Fastapi OPA (CVE-2024-40627)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
15/07/2024
Última modificación:
15/04/2026
Descripción
Fastapi OPA es un middleware fastapi de código abierto que incluye flujo de autenticación. Las solicitudes HTTP `OPCIONES` siempre son permitidas por `OpaMiddleware`, incluso cuando carecen de autenticación, y se pasan directamente a la aplicación. `OpaMiddleware` permite todas las solicitudes HTTP de `OPCIONES` sin evaluarlas con respecto a ninguna política. Si una aplicación proporciona diferentes respuestas a las solicitudes HTTP "OPCIONES" basadas en una entidad existente (por ejemplo, para indicar si se puede escribir en una entidad a nivel del sistema), un atacante no autenticado podría descubrir qué entidades existen dentro de una aplicación. Este problema se solucionó en la versión 2.0.1. Se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Impacto
Puntuación base 3.x
5.80
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://github.com/busykoala/fastapi-opa/blob/6dd6f8c87e908fe080784a74707f016f1422b58a/fastapi_opa/opa/opa_middleware.py#L79-L80
- https://github.com/busykoala/fastapi-opa/commit/9588109ff651f7ffc92687129c4956126443fb8c
- https://github.com/busykoala/fastapi-opa/security/advisories/GHSA-5f5c-8rvc-j8wf
- https://github.com/busykoala/fastapi-opa/blob/6dd6f8c87e908fe080784a74707f016f1422b58a/fastapi_opa/opa/opa_middleware.py#L79-L80
- https://github.com/busykoala/fastapi-opa/commit/9588109ff651f7ffc92687129c4956126443fb8c
- https://github.com/busykoala/fastapi-opa/security/advisories/GHSA-5f5c-8rvc-j8wf