CVE-2026-33729 CVSS 9.8 严重

CVE-2026-33729 OpenFGA授权绕过漏洞

披露日期: 2026-03-27

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-33729

漏洞类型

权限绕过

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

OpenFGA

漏洞概述

OpenFGA是一个高性能授权引擎。在1.13.1版本之前，当模型使用条件且启用缓存时，特定条件下两个不同的检查请求可能生成相同的缓存键。这导致OpenFGA为不同的请求复用之前的缓存结果，从而引发权限绕过风险。该漏洞CVSS评分为9.8，属于严重级别。

技术细节

该漏洞源于OpenFGA在处理带有条件的模型检查请求时的缓存键生成逻辑缺陷。当启用缓存功能时，系统通常基于请求参数生成唯一键值以存储和检索授权结果。然而在受影响版本中，尽管上下文或条件参数不同，特定的请求组合仍可能产生哈希冲突或生成相同的缓存键。攻击者若能触发这种键值冲突，系统会错误地返回为第一个请求缓存的授权结果给第二个请求。由于授权决策（允许/拒绝）被错误复用，攻击者可能利用此机制在未获得实际授权的情况下，通过构造特定请求访问受限资源或执行未授权操作，从而绕过原有的安全策略。

攻击链分析

STEP 1

侦察

攻击者识别出目标系统正在使用OpenFGA，且确认版本低于1.13.1，同时启用了缓存功能。

STEP 2

利用

攻击者构造特定的授权检查请求，利用模型中定义的条件，触发缓存键生成逻辑的缺陷，使恶意请求与之前的合法请求产生相同的缓存键。

STEP 3

权限提升

系统直接返回之前缓存的“允许”结果给攻击者，导致攻击者在未通过实际权限验证的情况下，获得对敏感资源的访问权或执行未授权操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# Conceptual PoC for OpenFGA Cache Key Collision (CVE-2026-33729)
# This script demonstrates the logic of the vulnerability, not a direct exploit.

import requests

def check_permission(target_url, user, relation, object_id, context):
    """Simulates a check request to OpenFGA"""
    payload = {
        "user": user,
        "relation": relation,
        "object": object_id,
        "context": context
    }
    # In a vulnerable version, different payloads might generate the same cache key
    print(f"Sending check request for {user} on {object_id}...")
    # response = requests.post(f"{target_url}/checks", json=payload)
    # return response.json()['allowed']
    return True # Simulated response

# Scenario: Attacker exploits cache key collision

# 1. Legitimate User Request (Cached)
# This request is evaluated and allowed, then cached.
# Cache Key generated: KEY_X
print("Step 1: Legitimate user (Alice) requests access.")
check_permission(
    "http://openfga-instance", 
    "user:alice", 
    "can_view", 
    "doc:public_report", 
    {"env": "prod"}
)
print("-> Allowed and Cached as KEY_X")

# 2. Attacker Request (Bypass)
# Attacker sends a different request that collides with KEY_X.
# The system retrieves the cached result (Allowed) instead of evaluating the new request.
print("\nStep 2: Attacker (Bob) sends crafted request triggering collision.")
result = check_permission(
    "http://openfga-instance",
    "user:bob",
    "can_delete", # Sensitive operation
    "doc:secret_plan", # Sensitive object
    {"env": "staging", "trig": "collision_payload"}
)

print(f"-> Result: {result} (Returned from cache KEY_X, bypassing real check)")
if result:
    print("Vulnerability Exploited: Unauthorized access granted via cache reuse.")

影响范围

OpenFGA < 1.13.1

防御指南

临时缓解措施

建议管理员立即将OpenFGA升级到v1.13.1版本以修复此漏洞。如果暂时无法升级，应关闭OpenFGA的缓存功能，防止系统复用过期的或错误的授权结果，直至完成更新。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表