Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-04839

Опубликовано: 20 июн. 2024
Источник: fstec
CVSS3: 3.7
CVSS2: 2.6
EPSS Низкий

Описание

Уязвимость системы управления базами данных SpiceDB связана с неправильным сохранением разрешений. Эксплуатация уязвимости может позволить нарушителю, дейтвующему удаленно, оказать воздействие на целостность данных через параметр CheckPermission

Вендор

Authzed, Inc.

Наименование ПО

SpiceDB

Версия ПО

до 1.33.1 (SpiceDB)

Тип ПО

СУБД

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 2,6)
Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,7)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/authzed/spicedb/security/advisories/GHSA-grjv-gjgr-66g2
https://github.com/authzed/spicedb/commit/ecef31d2b266fde17eb2c3415e2ec4ceff96fbeb

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 41%
0.0019
Низкий

3.7 Low

CVSS3

2.6 Low

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-38361

CVSS3: 3.7
nvd
больше 1 года назад

Spicedb is an Open Source, Google Zanzibar-inspired permissions database to enable fine-grained authorization for customer applications. Use of an exclusion under an arrow that has multiple resources may resolve to `NO_PERMISSION` when permission is expected. If the resource exists under *multiple* folders and the user has access to view more than a single folder, SpiceDB may report the user does not have access due to a failure in the exclusion dispatcher to request that *all* the folders in which the user is a member be returned. Permission is returned as `NO_PERMISSION` when `PERMISSION` is expected on the `CheckPermission` API. This issue has been addressed in version 1.33.1. All users are advised to upgrade. There are no known workarounds for this issue.

github логотип

GHSA-grjv-gjgr-66g2

CVSS3: 3.7
github
больше 1 года назад

SpiceDB exclusions can result in no permission returned when permission expected

EPSS

Процентиль: 41%
0.0019
Низкий

3.7 Low

CVSS3

2.6 Low

CVSS2