CVE-2026-33729 是 OpenFGA 中一个权限绕过漏洞,该漏洞源于特定条件下,启用缓存的条件模型可能导致不同的检查请求产生相同的缓存键,从而使 OpenFGA 为不同的请求重用先前的缓存结果,导致权限绕过。如果模型具有依赖于条件评估的关系并且启用了缓存,则用户会受到影响。该漏洞影响 OpenFGA 1.13.1 之前的版本。OpenFGA v1.13.1 包含此漏洞的补丁。
OpenFGA中的CVE-2026-33729影响了1.13.1之前的版本。在特定条件下,使用条件和启用缓存的模型可能导致两个不同的检查请求生成相同的缓存键。这可能导致OpenFGA为不同的请求重用之前的缓存结果,从而导致错误的授权。如果您的授权模型依赖于条件评估并且启用了缓存,则影响会很大,因为它可能允许对资源进行未经授权的访问或拒绝合法的访问。CVSS评分尚未确定,但错误的授权可能性需要立即关注。
利用此漏洞需要深入了解OpenFGA授权模型结构以及操作检查请求以生成重复缓存键的能力。攻击者需要识别模型中可能容易受到此问题影响的特定条件。利用的可能性取决于模型的复杂性和缓存配置。虽然利用并不简单,但错误的授权的潜在影响使此漏洞成为一个重要的担忧。建议进行渗透测试以识别潜在的攻击向量。
Organizations heavily reliant on OpenFGA for fine-grained access control, particularly those employing complex models with conditions and caching enabled, are at increased risk. This includes applications requiring dynamic authorization based on user attributes or contextual factors. Teams using older OpenFGA deployments are also more vulnerable.
• go / server:
ps aux | grep -i openfga• go / server:
journalctl -u openfga --since "1 hour ago" | grep -i "cache key collision"• generic web: Check OpenFGA server logs for errors related to cache key generation or unexpected authorization results. • generic web: Review OpenFGA model configurations to identify those utilizing conditions and caching.
disclosure
漏洞利用状态
EPSS
0.01% (2% 百分位)
CISA SSVC
此漏洞的解决方案是升级到OpenFGA的1.13.1或更高版本。此版本包含一个修复程序,可防止在条件中生成重复的缓存键。如果暂时无法升级,请考虑在您的授权模型中禁用缓存,尽管这可能会影响性能。重要的是,审查您的授权模型,以识别那些依赖于条件评估的模型,并优先升级或禁用这些模型中的缓存。升级后,监控您的授权系统以确保已修复漏洞,并且系统行为符合预期。
Actualice OpenFGA a la versión 1.13.1 o superior. Esta versión contiene una corrección para el problema de omisión de autorización debido al almacenamiento en caché incorrecto de las claves.
漏洞分析和关键警报直接发送到您的邮箱。
OpenFGA是一个为开发人员构建的高性能和灵活的授权/权限引擎,灵感来自Google Zanzibar。
如果您使用具有条件和启用缓存的OpenFGA模型,则可能会出现错误的授权,从而可能允许未经授权的访问或拒绝合法的访问。
作为临时措施,请在您的授权模型中禁用缓存。但是,这可能会影响性能。
请参阅OpenFGA官方文档和1.13.1版本的发行说明,以获取有关漏洞和修复程序的更多详细信息。
CVSS评分尚未确定。但是,由于潜在的影响,建议以高优先级对待此漏洞。
上传你的 go.mod 文件,立即知道是否受影响。