SpiceDB:如果使用特定类型的关系,LookupSubjects 可能会返回部分结果 (CVE-2024-32001)

admin
admin
admin
0
文章
0
评论
2024-05-21 20:00:18 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
SpiceDB:如果使用特定类型的关系,LookupSubjects 可能会返回部分结果 (CVE-2024-32001)

CVE编号

CVE-2024-32001

利用情况

暂无

补丁情况

N/A

披露时间

2024-04-11
漏洞描述
SpiceDB是一个专门用于存储和评估访问控制数据的图数据库。在关系中使用形式为`relation folder: folder | folder#parent`的箭头,比如`folder->view`,会导致LookupSubjects仅返回在`folder`或`folder#parent`下找到的主体。该漏洞仅在关系中多次使用相同主体类型,存在于两种主体类型的关系,并使用箭头覆盖关系时发生。任何使用v1.30.1之前版本的用户在基于LookupSubjects请求结果做否定授权决定时都会受到影响。版本1.30.1包含了该问题的补丁。作为一种解决方法,避免在负授权决策中使用LookupSubjects和/或避免使用有问题的模式。
解决建议
"将组件 github.com/authzed/spicedb 升级至 1.30.1 及以上版本"
参考链接
https://github.com/authzed/spicedb/commit/a244ed1edfaf2382711dccdb699971ec97190c7b
https://github.com/authzed/spicedb/releases/tag/v1.30.1
https://github.com/authzed/spicedb/security/advisories/GHSA-j85q-46hg-36p2
CVSS3评分 2.2
  • 攻击路径 网络
  • 攻击复杂度 高
  • 权限要求 高
  • 影响范围 未更改
  • 用户交互 无
  • 可用性 无
  • 保密性 无
  • 完整性 低
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:L/A:N
CWE-ID 漏洞类型
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2024-29452利用情况 暂无补丁情况 N/A披露时间 2024-04-11漏洞描述An insecure deseriali
05-210 评论
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0