प्लेटफ़ॉर्म
go
घटक
openfga/openfga
में ठीक किया गया
1.13.2
CVE-2026-33729 OpenFGA में मौजूद एक भेद्यता है, जहाँ कंडीशन इवैल्यूएशन और कैशिंग सक्षम होने पर, दो अलग-अलग चेक अनुरोध एक ही कैश कुंजी उत्पन्न कर सकते हैं. इससे OpenFGA एक अलग अनुरोध के लिए पहले से कैश किए गए परिणाम को पुन: उपयोग कर सकता है. यह भेद्यता OpenFGA के 1.13.1 से पहले के संस्करणों को प्रभावित करती है. OpenFGA v1.13.1 में इस समस्या का समाधान किया गया है.
OpenFGA में CVE-2026-33729 1.13.1 से पहले के संस्करणों को प्रभावित करता है। विशिष्ट परिस्थितियों में, शर्तों के साथ कैश सक्षम किए गए मॉडलों में दो अलग-अलग जांच अनुरोध समान कैश कुंजी उत्पन्न कर सकते हैं। इससे OpenFGA किसी अन्य अनुरोध के लिए पहले से कैश किए गए परिणाम का पुन: उपयोग कर सकता है, जिससे गलत प्राधिकरण हो सकता है। यदि आपके प्राधिकरण मॉडल शर्तों के मूल्यांकन पर निर्भर करते हैं और कैश सक्षम है, तो प्रभाव महत्वपूर्ण है, क्योंकि इससे संसाधनों तक अनधिकृत पहुंच हो सकती है या वैध पहुंच से इनकार किया जा सकता है। CVSS स्कोर अभी तक निर्धारित नहीं किया गया है, लेकिन गलत प्राधिकरण की संभावना तत्काल ध्यान देने की आवश्यकता है।
इस भेद्यता का शोषण करने के लिए OpenFGA प्राधिकरण मॉडल संरचना की गहरी समझ और जांच अनुरोधों में हेरफेर करने की क्षमता की आवश्यकता होती है ताकि डुप्लिकेट कैश कुंजियाँ उत्पन्न हो सकें। एक हमलावर को मॉडल में विशिष्ट शर्तों की पहचान करनी होगी जो इस समस्या के प्रति संवेदनशील हैं। शोषण की संभावना मॉडल की जटिलता और कैश कॉन्फ़िगरेशन पर निर्भर करती है। हालांकि शोषण आसान नहीं है, लेकिन गलत प्राधिकरण के संभावित प्रभाव इस भेद्यता को एक महत्वपूर्ण चिंता का विषय बनाते हैं। संभावित हमले वेक्टरों की पहचान करने के लिए प्रवेश परीक्षण की सिफारिश की जाती है।
Organizations heavily reliant on OpenFGA for fine-grained access control, particularly those employing complex models with conditions and caching enabled, are at increased risk. This includes applications requiring dynamic authorization based on user attributes or contextual factors. Teams using older OpenFGA deployments are also more vulnerable.
• go / server:
ps aux | grep -i openfga• go / server:
journalctl -u openfga --since "1 hour ago" | grep -i "cache key collision"• generic web: Check OpenFGA server logs for errors related to cache key generation or unexpected authorization results. • generic web: Review OpenFGA model configurations to identify those utilizing conditions and caching.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.01% (2% शतमक)
CISA SSVC
इस भेद्यता का समाधान OpenFGA को संस्करण 1.13.1 या बाद के संस्करण में अपग्रेड करना है। इस संस्करण में एक फिक्स शामिल है जो शर्तों में डुप्लिकेट कैश कुंजियों के निर्माण को रोकता है। इस बीच, यदि आप तुरंत अपग्रेड नहीं कर सकते हैं, तो अपने प्राधिकरण मॉडल में कैश को अक्षम करने पर विचार करें, हालांकि इससे प्रदर्शन प्रभावित हो सकता है। उन प्राधिकरण मॉडलों की पहचान करने के लिए अपने प्राधिकरण मॉडलों की समीक्षा करना महत्वपूर्ण है जो शर्तों के मूल्यांकन पर निर्भर करते हैं और उन मॉडलों में कैश को अक्षम करने या अपग्रेड करने को प्राथमिकता देते हैं। अपग्रेड के बाद अपने प्राधिकरण सिस्टम की निगरानी करें ताकि यह सुनिश्चित हो सके कि भेद्यता को ठीक कर दिया गया है और सिस्टम व्यवहार अपेक्षित है।
Actualice OpenFGA a la versión 1.13.1 o superior. Esta versión contiene una corrección para el problema de omisión de autorización debido al almacenamiento en caché incorrecto de las claves.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
OpenFGA एक उच्च-प्रदर्शन और लचीला प्राधिकरण/अनुमति इंजन है जो डेवलपर्स के लिए बनाया गया है और Google Zanzibar से प्रेरित है।
यदि आप OpenFGA का उपयोग शर्तों और सक्षम कैश वाले मॉडलों के साथ कर रहे हैं, तो गलत प्राधिकरण हो सकता है, जिससे अनधिकृत पहुंच हो सकती है या वैध पहुंच से इनकार किया जा सकता है।
एक अस्थायी उपाय के रूप में, अपने प्राधिकरण मॉडल में कैश को अक्षम करें। हालांकि, इससे प्रदर्शन प्रभावित हो सकता है।
भेद्यता और फिक्स के बारे में अधिक जानकारी के लिए OpenFGA आधिकारिक दस्तावेज़ और संस्करण 1.13.1 के रिलीज़ नोट्स देखें।
CVSS स्कोर अभी तक निर्धारित नहीं किया गया है। हालांकि, संभावित प्रभाव को देखते हुए, इस भेद्यता को उच्च प्राथमिकता के साथ संबोधित करने की सिफारिश की जाती है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।