Platform
go
Component
openfga/openfga
Opgelost in
1.13.2
CVE-2026-33729 beschrijft een cache probleem in OpenFGA. Onder specifieke omstandigheden kunnen modellen die gebruik maken van voorwaarden met caching ingeschakeld, leiden tot onjuiste resultaten bij autorisatiecontroles. Dit kan ertoe leiden dat OpenFGA een eerder gecached resultaat hergebruikt voor een andere aanvraag, wat de autorisatie kan omzeilen. Gebruikers worden beïnvloed als het model relaties heeft die afhankelijk zijn van voorwaarde-evaluatie en caching is ingeschakeld. OpenFGA versie 1.13.1 bevat een oplossing voor dit probleem.
CVE-2026-33729 in OpenFGA treft versies vóór 1.13.1. Onder specifieke omstandigheden kunnen modellen die voorwaarden gebruiken met caching ingeschakeld, ertoe leiden dat twee verschillende controleverzoeken dezelfde cache-sleutel genereren. Dit kan ertoe leiden dat OpenFGA een eerder opgeslagen resultaat voor een ander verzoek hergebruikt, wat kan resulteren in een onjuiste autorisatie. De impact is aanzienlijk als uw autorisatiemodellen afhankelijk zijn van de evaluatie van voorwaarden en caching is ingeschakeld, omdat dit ongeautoriseerde toegang tot resources kan toestaan of legitieme toegang kan weigeren. De CVSS-score is momenteel niet bepaald, maar de mogelijkheid van onjuiste autorisatie vereist onmiddellijke aandacht.
Het exploiteren van deze kwetsbaarheid vereist een diepgaand begrip van de structuur van de autorisatiemodellen van OpenFGA en het vermogen om controleverzoeken te manipuleren om dubbele cache-sleutels te genereren. Een aanvaller zou specifieke voorwaarden in de modellen moeten identificeren die gevoelig zijn voor dit probleem. De kans op exploitatie hangt af van de complexiteit van de modellen en de cachingconfiguratie. Hoewel exploitatie niet triviaal is, maakt de potentiële impact van onjuiste autorisatie deze kwetsbaarheid een belangrijk probleem. Penetratie testen worden aanbevolen om potentiële aanvalspunten te identificeren.
Organizations heavily reliant on OpenFGA for fine-grained access control, particularly those employing complex models with conditions and caching enabled, are at increased risk. This includes applications requiring dynamic authorization based on user attributes or contextual factors. Teams using older OpenFGA deployments are also more vulnerable.
• go / server:
ps aux | grep -i openfga• go / server:
journalctl -u openfga --since "1 hour ago" | grep -i "cache key collision"• generic web: Check OpenFGA server logs for errors related to cache key generation or unexpected authorization results. • generic web: Review OpenFGA model configurations to identify those utilizing conditions and caching.
disclosure
Exploit Status
EPSS
0.01% (2% percentiel)
CISA SSVC
De oplossing voor deze kwetsbaarheid is om te upgraden naar versie 1.13.1 of hoger van OpenFGA. Deze versie bevat een fix die voorkomt dat dubbele cache-sleutels in voorwaarden worden gegenereerd. Indien u niet onmiddellijk kunt upgraden, overweeg dan om caching in uw autorisatiemodellen uit te schakelen, hoewel dit de prestaties kan beïnvloeden. Het is cruciaal om uw autorisatiemodellen te bekijken om de modellen te identificeren die afhankelijk zijn van de evaluatie van voorwaarden en om het upgraden of uitschakelen van de cache in die modellen te prioriteren. Bewaak uw autorisatiesystemen na de upgrade om ervoor te zorgen dat de kwetsbaarheid is verholpen en dat het systeemgedrag zoals verwacht is.
Actualice OpenFGA a la versión 1.13.1 o superior. Esta versión contiene una corrección para el problema de omisión de autorización debido al almacenamiento en caché incorrecto de las claves.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
OpenFGA is een high-performance en flexibele autorisatie-/machtigingsengine, gebouwd voor ontwikkelaars en geïnspireerd door Google Zanzibar.
Als u OpenFGA gebruikt met modellen die voorwaarden en caching hebben ingeschakeld, kan er sprake zijn van onjuiste autorisatie, wat ongeautoriseerde toegang kan toestaan of legitieme toegang kan weigeren.
Als tijdelijke maatregel, schakel caching uit in uw autorisatiemodellen. Dit kan echter de prestaties beïnvloeden.
Raadpleeg de officiële OpenFGA-documentatie en de release notes voor versie 1.13.1 voor meer details over de kwetsbaarheid en de fix.
De CVSS-score is momenteel niet bepaald. Vanwege de potentiële impact wordt aanbevolen om deze kwetsbaarheid met hoge prioriteit te behandelen.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.