Plateforme
go
Composant
openfga/openfga
Corrigé dans
1.13.2
CVE-2026-33729 affecte OpenFGA et permet la réutilisation incorrecte de résultats de cache. Cela se produit lorsque des modèles utilisant des conditions avec le cache activé génèrent la même clé de cache pour différentes requêtes. Les versions affectées sont celles inférieures à 1.13.1. La version 1.13.1 contient un correctif pour cette vulnérabilité.
La vulnérabilité CVE-2026-33729 dans OpenFGA affecte les versions antérieures à 1.13.1. Dans des conditions spécifiques, les modèles utilisant des conditions avec la mise en cache activée peuvent entraîner deux requêtes de vérification différentes produisant la même clé de cache. Cela peut amener OpenFGA à réutiliser un résultat mis en cache antérieur pour une requête différente, ce qui pourrait entraîner une autorisation incorrecte. L'impact est significatif si vos modèles d'autorisation dépendent de l'évaluation des conditions et que la mise en cache est activée, car cela pourrait permettre un accès non autorisé aux ressources ou refuser un accès légitime. La note CVSS n'a pas encore été déterminée, mais la possibilité d'une autorisation incorrecte justifie une attention immédiate.
L'exploitation de cette vulnérabilité nécessite une connaissance approfondie de la structure des modèles d'autorisation d'OpenFGA et la capacité de manipuler les requêtes de vérification pour générer des clés de cache dupliquées. Un attaquant devrait identifier des conditions spécifiques dans les modèles qui pourraient être sensibles à ce problème. La probabilité d'exploitation dépend de la complexité des modèles et de la configuration de la mise en cache. Bien que l'exploitation ne soit pas triviale, l'impact potentiel d'une autorisation incorrecte fait de cette vulnérabilité une préoccupation importante. Des tests d'intrusion sont recommandés pour identifier les vecteurs d'attaque potentiels.
Organizations heavily reliant on OpenFGA for fine-grained access control, particularly those employing complex models with conditions and caching enabled, are at increased risk. This includes applications requiring dynamic authorization based on user attributes or contextual factors. Teams using older OpenFGA deployments are also more vulnerable.
• go / server:
ps aux | grep -i openfga• go / server:
journalctl -u openfga --since "1 hour ago" | grep -i "cache key collision"• generic web: Check OpenFGA server logs for errors related to cache key generation or unexpected authorization results. • generic web: Review OpenFGA model configurations to identify those utilizing conditions and caching.
disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 2%)
CISA SSVC
La solution à cette vulnérabilité consiste à mettre à niveau vers la version 1.13.1 ou ultérieure d'OpenFGA. Cette version inclut une correction qui empêche la génération de clés de cache dupliquées dans les conditions. En attendant, si vous ne pouvez pas mettre à niveau immédiatement, envisagez de désactiver la mise en cache dans vos modèles d'autorisation, bien que cela puisse affecter les performances. Il est essentiel d'examiner vos modèles d'autorisation pour identifier ceux qui dépendent de l'évaluation des conditions et de prioriser la mise à niveau ou la désactivation de la mise en cache dans ces modèles. Surveillez vos systèmes d'autorisation après la mise à niveau pour vous assurer que la vulnérabilité a été résolue et que le comportement du système est conforme aux attentes.
Actualice OpenFGA a la versión 1.13.1 o superior. Esta versión contiene una corrección para el problema de omisión de autorización debido al almacenamiento en caché incorrecto de las claves.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
OpenFGA est un moteur d'autorisation haute performance et flexible, conçu pour les développeurs et inspiré de Google Zanzibar.
Si vous utilisez OpenFGA avec des modèles qui ont des conditions et la mise en cache activée, il pourrait y avoir une autorisation incorrecte, ce qui pourrait permettre un accès non autorisé ou refuser un accès légitime.
En tant que mesure temporaire, désactivez la mise en cache dans vos modèles d'autorisation. Cependant, cela peut affecter les performances.
Consultez la documentation officielle d'OpenFGA et les notes de publication de la version 1.13.1 pour plus de détails sur la vulnérabilité et la correction.
La note CVSS n'a pas encore été déterminée. Cependant, en raison de l'impact potentiel, il est recommandé de traiter cette vulnérabilité avec une priorité élevée.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.