Plattform
go
Komponente
openfga/openfga
Behoben in
1.13.2
CVE-2026-33729 describes a cache poisoning vulnerability affecting OpenFGA versions prior to 1.13.1. This flaw allows attackers to potentially manipulate authorization decisions by causing different requests to share the same cache key when conditions and caching are enabled. The vulnerability impacts users relying on condition evaluation within their OpenFGA models. A patch is available in version 1.13.1.
CVE-2026-33729 in OpenFGA betrifft Versionen vor 1.13.1. Unter bestimmten Bedingungen können Modelle, die Bedingungen mit aktiviertem Cache verwenden, dazu führen, dass zwei verschiedene Prüfungsanfragen denselben Cache-Schlüssel erzeugen. Dies kann dazu führen, dass OpenFGA ein früheres zwischengespeichertes Ergebnis für eine andere Anfrage wiederverwendet, was zu einer falschen Autorisierung führen kann. Der Einfluss ist erheblich, wenn Ihre Autorisierungsmodelle von der Auswertung von Bedingungen abhängen und der Cache aktiviert ist, da dies unbefugten Zugriff auf Ressourcen ermöglichen oder legitimen Zugriff verweigern könnte. Der CVSS-Score wurde noch nicht ermittelt, aber die Möglichkeit einer falschen Autorisierung erfordert sofortige Aufmerksamkeit.
Die Ausnutzung dieser Schwachstelle erfordert ein tiefes Verständnis der Struktur der Autorisierungsmodelle von OpenFGA und die Fähigkeit, Prüfungsanfragen zu manipulieren, um doppelte Cache-Schlüssel zu erzeugen. Ein Angreifer müsste bestimmte Bedingungen in den Modellen identifizieren, die anfällig für dieses Problem sind. Die Wahrscheinlichkeit einer Ausnutzung hängt von der Komplexität der Modelle und der Cache-Konfiguration ab. Obwohl die Ausnutzung nicht trivial ist, macht der potenzielle Einfluss einer falschen Autorisierung diese Schwachstelle zu einem wichtigen Anliegen. Penetrationstests werden empfohlen, um potenzielle Angriffspunkte zu identifizieren.
Organizations heavily reliant on OpenFGA for fine-grained access control, particularly those employing complex models with conditions and caching enabled, are at increased risk. This includes applications requiring dynamic authorization based on user attributes or contextual factors. Teams using older OpenFGA deployments are also more vulnerable.
• go / server:
ps aux | grep -i openfga• go / server:
journalctl -u openfga --since "1 hour ago" | grep -i "cache key collision"• generic web: Check OpenFGA server logs for errors related to cache key generation or unexpected authorization results. • generic web: Review OpenFGA model configurations to identify those utilizing conditions and caching.
disclosure
Exploit-Status
EPSS
0.01% (2% Perzentil)
CISA SSVC
Die Lösung für diese Schwachstelle besteht darin, auf Version 1.13.1 oder höher von OpenFGA zu aktualisieren. Diese Version enthält eine Korrektur, die verhindert, dass in Bedingungen doppelte Cache-Schlüssel generiert werden. Wenn Sie ein sofortiges Update nicht durchführen können, sollten Sie in der Zwischenzeit den Cache in Ihren Autorisierungsmodellen deaktivieren, obwohl dies die Leistung beeinträchtigen kann. Es ist entscheidend, Ihre Autorisierungsmodelle zu überprüfen, um diejenigen zu identifizieren, die von der Auswertung von Bedingungen abhängen, und die Aktualisierung oder Deaktivierung des Caches in diesen Modellen zu priorisieren. Überwachen Sie Ihre Autorisierungssysteme nach dem Update, um sicherzustellen, dass die Schwachstelle behoben wurde und das Systemverhalten wie erwartet ist.
Actualice OpenFGA a la versión 1.13.1 o superior. Esta versión contiene una corrección para el problema de omisión de autorización debido al almacenamiento en caché incorrecto de las claves.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
OpenFGA ist ein hochleistungsfähiges und flexibles Autorisierungs-/Berechtigungs-Engine, das für Entwickler entwickelt wurde und von Google Zanzibar inspiriert ist.
Wenn Sie OpenFGA mit Modellen verwenden, die Bedingungen und einen aktivierten Cache haben, kann es zu einer falschen Autorisierung kommen, die unbefugten Zugriff ermöglicht oder legitimen Zugriff verweigert.
Als vorübergehende Maßnahme sollten Sie den Cache in Ihren Autorisierungsmodellen deaktivieren. Dies kann jedoch die Leistung beeinträchtigen.
Konsultieren Sie die offizielle OpenFGA-Dokumentation und die Versionshinweise für Version 1.13.1 für weitere Details zur Schwachstelle und zur Behebung.
Der CVSS-Score wurde noch nicht ermittelt. Aufgrund des potenziellen Einflusses wird jedoch empfohlen, diese Schwachstelle mit hoher Priorität zu behandeln.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine go.mod-Datei hoch und wir sagen dir sofort, ob du betroffen bist.