Plataforma
go
Componente
github.com/open-policy-agent/opa
Corregido en
1.4.1
1.4.0
La vulnerabilidad CVE-2025-46569 es una inyección de ruta HTTP en la API de datos del servidor OPA (Open Policy Agent), específicamente en el manejo de Rego. Esta falla permite a un atacante inyectar comandos arbitrarios a través de solicitudes HTTP maliciosas. Las versiones afectadas son aquellas anteriores a 1.4.0. Se recomienda actualizar a la versión 1.4.0 para mitigar el riesgo.
Un atacante que explote esta vulnerabilidad puede ejecutar comandos arbitrarios en el servidor OPA. Esto podría resultar en la toma de control completa del sistema, robo de datos confidenciales, o la interrupción del servicio. La inyección de ruta permite a un atacante manipular la ejecución de Rego, el lenguaje de políticas utilizado por OPA, para ejecutar comandos del sistema operativo subyacente. El impacto es significativo, especialmente en entornos donde OPA se utiliza para controlar el acceso a recursos críticos o para aplicar políticas de seguridad.
La vulnerabilidad CVE-2025-46569 fue publicada el 5 de mayo de 2025. No se ha añadido a KEV (CISA Known Exploited Vulnerabilities) al momento de la redacción. No se han reportado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la inyección de ruta sugiere que es probable que se desarrollen. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar posibles campañas de explotación.
Organizations heavily reliant on OPA for policy enforcement, particularly those using it to secure cloud infrastructure, Kubernetes clusters, or microservices architectures, are at significant risk. Environments where the OPA Data API is exposed to untrusted networks are especially vulnerable.
• go / server: Monitor OPA logs for unusual Rego query patterns or errors related to Rego parsing. Look for requests containing suspicious characters or keywords commonly used in Rego code.
journalctl -u opa -f | grep -i "error parsing rego" • generic web: Use curl to test the Data API endpoint with various Rego queries, observing the responses for unexpected behavior or errors.
curl -X POST -d '{\"query\": "// malicious rego code"}' http://<opa_server>/data/querydisclosure
Estado del Exploit
EPSS
0.06% (20% percentil)
CISA SSVC
La mitigación principal es actualizar el servidor OPA a la versión 1.4.0 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Estas pueden incluir la validación estricta de todas las entradas de usuario, el uso de un firewall de aplicaciones web (WAF) para bloquear solicitudes maliciosas, y la restricción de los permisos del usuario OPA al mínimo necesario. Después de la actualización, confirme la corrección revisando los registros del servidor OPA en busca de intentos de inyección de ruta.
Actualice Open Policy Agent a la versión 1.4.0 o superior. Como alternativa, limite el acceso de red a las APIs RESTful de OPA a `localhost` y/o redes de confianza, a menos que sea necesario para razones de producción. Esto mitiga el riesgo de inyección de código Rego a través de la API de datos.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-46569 is a path injection vulnerability in OPA's Data API affecting versions before 1.4.0. It allows attackers to inject malicious Rego code, potentially bypassing policy enforcement.
You are affected if you are using Open Policy Agent (OPA) versions prior to 1.4.0 and the Data API is exposed.
Upgrade to Open Policy Agent version 1.4.0 or later. As a temporary workaround, implement input validation on the Data API to sanitize Rego queries.
No public exploits are currently known, but the vulnerability's nature suggests a potential for exploitation.
Refer to the official Open Policy Agent security advisories on their website or GitHub repository for the latest information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.