Vulnerabilidad en Open Policy Agent (OPA) (CVE-2022-36085)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
08/09/2022
Última modificación:
07/11/2023
Descripción
Open Policy Agent (OPA) es un motor de políticas de propósito general de código abierto. El compilador de Rego proporciona una función "WithUnsafeBuiltins" (en desuso), que permite a usuarios proporcionar un conjunto de funciones integradas que el compilador debería considerar inseguras y, como tales, rechazarlas si son encontradas en la etapa de compilación de políticas. . Se ha encontrado una omisión de esta protección, en la que "WithUnsafeBuiltins" no es tenido en cuenta el uso de la palabra clave "with" para simular una función integrada de este tipo (una característica introducida en OPA v0.40.0). Deben cumplirse múltiples condiciones para crear un efecto adverso. La versión 0.43.1 contiene un parche para este problema. Como mitigación, evite usar la función "WithUnsafeBuiltins" y use la funcionalidad "capabilities" en su lugar
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:openpolicyagent:open_policy_agent:*:*:*:*:*:*:*:* | 0.40.0 (incluyendo) | 0.43.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/open-policy-agent/opa/commit/25a597bc3f4985162e7f65f9c36599f4f8f55823
- https://github.com/open-policy-agent/opa/commit/3e8c754ed007b22393cf65e48751ad9f6457fee8
- https://github.com/open-policy-agent/opa/pull/4540
- https://github.com/open-policy-agent/opa/pull/4616
- https://github.com/open-policy-agent/opa/releases/tag/v0.43.1
- https://github.com/open-policy-agent/opa/security/advisories/GHSA-f524-rf33-2jjr