Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en spicedb (CVE-2024-46989)

Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-269 Gestión de privilegios incorrecta
Fecha de publicación:
18/09/2024
Última modificación:
20/09/2024

Descripción

spicedb es una base de datos de permisos de código abierto inspirada en Google Zanzibar que permite una autorización detallada para las aplicaciones de los clientes. Varias advertencias sobre el mismo tipo de sujeto indirecto en la misma relación pueden provocar que no se devuelva ningún permiso cuando se espera que sí. Si el recurso tiene varios grupos y cada grupo tiene advertencias, es posible que el permiso devuelto sea "sin permiso" cuando se espera que sí. El permiso se devuelve como NO_PERMISSION cuando se espera PERMISSION en la API CheckPermission. Este problema se ha solucionado en la versión de lanzamiento 1.35.3. Se recomienda a los usuarios que actualicen la versión. Los usuarios que no puedan actualizar no deben utilizar advertencias o evitar el uso de advertencias en un tipo de sujeto indirecto con varias entradas.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 3.70 BAJA
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
3.70
Gravedad 3.x
BAJA

Referencias a soluciones, herramientas e información