Vulnerabilidad en Open Policy Agent (CVE-2025-46569)
Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-94
Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
01/05/2025
Última modificación:
02/05/2025
Descripción
Open Policy Agent (OPA) es un motor de políticas de código abierto y propósito general. Antes de la versión 1.4.0, al ejecutarse como servidor, OPA exponía una API de datos HTTP para leer y escribir documentos. Solicitar un documento virtual a través de la API de datos implicaba la evaluación de políticas, donde se generaba una consulta Rego con una única referencia al documento de datos a partir de la ruta solicitada. Esta consulta se utiliza para la evaluación de políticas. Una ruta de solicitud HTTP puede configurarse de forma que inyecte código Rego en la consulta construida. El resultado de la evaluación no puede devolver datos distintos a los generados por la ruta solicitada, pero esta puede desviarse y el código Rego inyectado puede configurarse para que la consulta tenga éxito o fracase, lo que expone a ataques de oráculo o, en las circunstancias adecuadas, a decisiones de política erróneas. Además, el código inyectado puede configurarse para que sea computacionalmente costoso, lo que resulta en un ataque de denegación de servicio (DoS). Este problema se ha corregido en la versión 1.4.0. Una solución alternativa implica que el acceso de red a las API RESTful de OPA se limite a `localhost` y/o redes confiables, a menos que sea necesario por razones de producción.
Impacto
Puntuación base 4.0
7.40
Gravedad 4.0
ALTA