Plataforma
go
Componente
openfga/openfga
Corrigido em
1.13.2
A vulnerabilidade CVE-2026-33729 afeta o OpenFGA, especificamente modelos que usam condições com o cache habilitado. Sob certas condições, duas solicitações diferentes podem gerar a mesma chave de cache. As versões afetadas são aquelas anteriores a 1.13.1. A correção está na versão 1.13.1.
A vulnerabilidade CVE-2026-33729 no OpenFGA afeta versões anteriores à 1.13.1. Sob condições específicas, modelos que utilizam condições com o cache habilitado podem resultar em duas solicitações de verificação diferentes produzindo a mesma chave de cache. Isso pode levar o OpenFGA a reutilizar um resultado em cache anterior para uma solicitação diferente, potencialmente resultando em autorização incorreta. O impacto é significativo se seus modelos de autorização dependem da avaliação de condições e o cache está habilitado, pois pode permitir acesso não autorizado a recursos ou negar acesso legítimo. A pontuação CVSS ainda não foi determinada, mas a possibilidade de autorização incorreta justifica atenção imediata.
A exploração desta vulnerabilidade requer um profundo conhecimento da estrutura dos modelos de autorização do OpenFGA e a capacidade de manipular as solicitações de verificação para gerar chaves de cache duplicadas. Um atacante precisaria identificar condições específicas nos modelos que possam ser suscetíveis a este problema. A probabilidade de exploração depende da complexidade dos modelos e da configuração do cache. Embora a exploração não seja trivial, o impacto potencial de uma autorização incorreta torna esta vulnerabilidade uma preocupação importante. Recomenda-se realizar testes de penetração para identificar possíveis vetores de ataque.
Organizations heavily reliant on OpenFGA for fine-grained access control, particularly those employing complex models with conditions and caching enabled, are at increased risk. This includes applications requiring dynamic authorization based on user attributes or contextual factors. Teams using older OpenFGA deployments are also more vulnerable.
• go / server:
ps aux | grep -i openfga• go / server:
journalctl -u openfga --since "1 hour ago" | grep -i "cache key collision"• generic web: Check OpenFGA server logs for errors related to cache key generation or unexpected authorization results. • generic web: Review OpenFGA model configurations to identify those utilizing conditions and caching.
disclosure
Status do Exploit
EPSS
0.01% (percentil 2%)
CISA SSVC
A solução para esta vulnerabilidade é atualizar para a versão 1.13.1 ou posterior do OpenFGA. Esta versão inclui uma correção que impede a geração de chaves de cache duplicadas em condições. Enquanto isso, se você não puder atualizar imediatamente, considere desativar o cache em seus modelos de autorização, embora isso possa afetar o desempenho. É crucial revisar seus modelos de autorização para identificar aqueles que dependem da avaliação de condições e priorizar a atualização ou a desativação do cache nesses modelos. Monitore seus sistemas de autorização após a atualização para garantir que a vulnerabilidade foi resolvida e que o comportamento do sistema é o esperado.
Atualize o OpenFGA para a versão 1.13.1 ou superior. Esta versão contém uma correção para o problema de omissão de autorização devido a chaves em cache incorretas. A atualização impedirá que resultados de cache anteriores sejam reutilizados para solicitações diferentes.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
OpenFGA é um motor de autorização de alto desempenho e flexível, construído para desenvolvedores e inspirado no Google Zanzibar.
Se você estiver usando o OpenFGA com modelos que têm condições e o cache habilitado, pode haver autorização incorreta, o que pode permitir acesso não autorizado ou negar acesso legítimo.
Como medida temporária, desative o cache em seus modelos de autorização. No entanto, isso pode afetar o desempenho.
Consulte a documentação oficial do OpenFGA e as notas de lançamento da versão 1.13.1 para obter mais detalhes sobre a vulnerabilidade e a correção.
A pontuação CVSS ainda não foi determinada. No entanto, devido ao impacto potencial, recomenda-se tratar esta vulnerabilidade com alta prioridade.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.