OpenFGA — это высокопроизводительный и гибкий механизм авторизации/разрешения, созданный для разработчиков и вдохновленный Google Zanzibar. OpenFGA v1.8.5–v1.11.2 ( openfga-0.2.22<= Helmchart <= openfga-0.2.51, v.1.8.5 <= docker <= v.1.11.2) уязвимы для неправильного применения политики при выполнении определенных вызовов проверки. Для уязвимости требуется модель, имеющая отношение, которое можно напрямую назначать с помощью общедоступного доступа с привязкой к типу и назначать с помощью закрытого доступа с привязкой к типу, кортеж, назначенный для отношения, которое является общедоступным доступом с привязкой к типу, кортеж, назначенный для того же объекта с тем же отношением, которое не является общедоступным доступом с привязкой к типу, и кортеж, назначенный для другого объекта, у которого идентификатор объекта лексикографически больше, с тем же пользователем и отношением, который не является общедоступным доступом с привязкой к типу. Эта уязвимость исправлена в версии 1.11.3.
Показать оригинальное описание (английский)
OpenFGA is a high-performance and flexible authorization/permission engine built for developers and inspired by Google Zanzibar. OpenFGA v1.8.5 to v1.11.2 ( openfga-0.2.22<= Helm chart <= openfga-0.2.51, v.1.8.5 <= docker <= v.1.11.2) are vulnerable to improper policy enforcement when certain Check calls are executed. The vulnerability requires a model that has a a relation directly assignable by a type bound public access and assignable by type bound non-public access, a tuple assigned for the relation that is a type bound public access, a tuple assigned for the same object with the same relation that is not type bound public access, and a tuple assigned for a different object that has an object ID lexicographically larger with the same user and relation which is not type bound public access. This vulnerability is fixed in v1.11.3.
Матрица атаки
СТРОКА CVSS ВЕКТОРА
CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:N/VI:N/VA:N/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X