प्लेटफ़ॉर्म
go
घटक
github.com/openfga/openfga
में ठीक किया गया
1.8.1
1.14.0
OpenFGA में, कुछ खास परिस्थितियों में, BatchCheck कॉल में कई जाँचें एक ही ऑब्जेक्ट, संबंध और उपयोगकर्ता संयोजन के लिए भेजी जाती हैं, तो नीति का गलत प्रवर्तन हो सकता है। इससे नीति कार्यान्वयन में त्रुटियां हो सकती हैं, जिससे अनधिकृत पहुंच या डेटा का गलत प्रबंधन हो सकता है। यह समस्या OpenFGA के उन संस्करणों को प्रभावित करती है जो v1.14.0 से पहले के हैं। OpenFGA v1.14.0 में इस समस्या का समाधान किया गया है.
OpenFGA में CVE-2026-34972 संदर्भ का उपयोग करने वाले BatchCheck ऑपरेशनों को प्रभावित करता है। विशेष रूप से, यदि एक ही BatchCheck ऑपरेशन के भीतर एक ही उपयोगकर्ता/ऑब्जेक्ट/रिलेशनशिप संयोजन के लिए कई जांच भेजी जाती हैं, और प्रत्येक जांच में एक अलग संदर्भ शामिल होता है, तो नीतियों का अनुचित प्रवर्तन हो सकता है। यह एक हमलावर को इच्छित पहुंच प्रतिबंधों को बायपास करने और उन संसाधनों तक पहुंचने की अनुमति दे सकता है जो आमतौर पर संरक्षित होते हैं। इस भेद्यता की गंभीरता को CVSS 5.0 के रूप में रेट किया गया है, जो एक मध्यम जोखिम दर्शाता है। भेद्यता तब प्रकट होती है जब सिस्टम प्रत्येक जांच में संदर्भ का सही मूल्यांकन नहीं करता है, जिसके परिणामस्वरूप गलत पहुंच निर्णय होता है।
इस भेद्यता का शोषण करने के लिए OpenFGA के नीति संरचना की गहरी समझ और सावधानीपूर्वक डिज़ाइन किए गए BatchCheck अनुरोध बनाने की क्षमता की आवश्यकता होती है। एक हमलावर को एक उपयोगकर्ता/ऑब्जेक्ट/रिलेशनशिप संयोजन की पहचान करनी होगी जहां संदर्भ का अनुचित अनुप्रयोग पहुंच बायपास का कारण बन सकता है। शोषण की कठिनाई OpenFGA नीतियों की जटिलता और हमलावर की BatchCheck अनुरोधों में हेरफेर करने की क्षमता पर निर्भर करती है। संदर्भ एक महत्वपूर्ण भूमिका निभाता है; जांचों के बीच संदर्भ में भिन्नता वह है जो भेद्यता को ट्रिगर करती है। BatchCheck प्रसंस्करण में उचित संदर्भ सत्यापन की कमी इस बायपास को सक्षम बनाती है।
Organizations heavily reliant on OpenFGA for access control and utilizing BatchCheck operations with context are most at risk. This includes applications with complex authorization rules and those that dynamically adjust user permissions based on contextual factors. Specifically, deployments using OpenFGA to manage access to sensitive data or critical infrastructure are particularly vulnerable.
• go / application: Examine OpenFGA logs for unusual BatchCheck requests with multiple checks for the same user/object/relation combination and differing contexts. • go / application: Monitor OpenFGA's internal metrics for anomalies in policy evaluation times or unexpected access grants. • generic web: If OpenFGA is exposed via an API, monitor API requests for patterns indicative of BatchCheck exploitation (multiple similar requests). • generic web: Review OpenFGA configuration files for any unusual settings related to context handling in BatchCheck operations.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.04% (11% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता का समाधान OpenFGA संस्करण 1.14.0 या उच्चतर में अपग्रेड करना है। इस संस्करण में फिक्स शामिल हैं जो संदर्भ के साथ BatchCheck ऑपरेशनों में अनुचित नीति प्रवर्तन के मुद्दे को संबोधित करते हैं। इस बीच, एक अस्थायी शमन उपाय के रूप में, एक ही उपयोगकर्ता/ऑब्जेक्ट/रिलेशनशिप संयोजन के लिए कई जांच के साथ BatchCheck का उपयोग करने से बचें, खासकर जब अलग-अलग संदर्भों का उपयोग किया जा रहा हो। यदि BatchCheck का उपयोग करना आवश्यक है, तो सुनिश्चित करें कि एक ही ऑपरेशन में सभी जांचों में एक ही संदर्भ है। असामान्य पहुंच पैटर्न के लिए OpenFGA लॉग की निगरानी संभावित शोषण का पता लगाने में भी मदद कर सकती है।
Actualice a la versión 1.14.0 o superior para mitigar la vulnerabilidad. Esta actualización corrige un problema de deduplicación en BatchCheck que podría resultar en decisiones de autorización incorrectas debido a colisiones en la clave de caché.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
BatchCheck OpenFGA में एक ऑपरेशन है जो आपको एक साथ कई अनुमतियों की जांच करने की अनुमति देता है, जिससे व्यक्तिगत जांचों की तुलना में दक्षता में सुधार होता है।
संदर्भ अतिरिक्त जानकारी प्रदान करता है जो पहुंच नीति के मूल्यांकन को प्रभावित कर सकती है। यह नीति परिभाषा में अधिक बारीक और लचीलापन की अनुमति देता है।
आप कमांड लाइन में openfga version कमांड चलाकर OpenFGA संस्करण सत्यापित कर सकते हैं।
एक अस्थायी शमन उपाय के रूप में, एक ही उपयोगकर्ता/ऑब्जेक्ट/रिलेशनशिप संयोजन के लिए विभिन्न संदर्भों के साथ कई जांच के साथ BatchCheck का उपयोग करने से बचें।
OpenFGA सुरक्षित नीतियों को डिजाइन करने में मदद करने के लिए दस्तावेज़ और उदाहरण प्रदान करता है। संभावित कमजोरियों की पहचान करने के लिए प्रवेश परीक्षण करने पर विचार करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।