CVE-2024-40627

Fastapi OPA is an opensource fastapi middleware which includes auth flow. HTTP `OPTIONS` requests are always allowed by `OpaMiddleware`, even when they lack authentication, and are passed through directly to the application. `OpaMiddleware` allows all HTTP `OPTIONS` requests without evaluating it against any policy. If an application provides different responses to HTTP `OPTIONS` requests based on an entity existing (such as to indicate whether an entity is writable on a system level), an unauthenticated attacker could discover which entities exist within an application. This issue has been addressed in release version 2.0.1. All users are advised to upgrade. There are no known workarounds for this vulnerability.
Configurations

No configuration.

History

21 Nov 2024, 09:31

Type Values Removed Values Added
References () https://github.com/busykoala/fastapi-opa/blob/6dd6f8c87e908fe080784a74707f016f1422b58a/fastapi_opa/opa/opa_middleware.py#L79-L80 - () https://github.com/busykoala/fastapi-opa/blob/6dd6f8c87e908fe080784a74707f016f1422b58a/fastapi_opa/opa/opa_middleware.py#L79-L80 -
References () https://github.com/busykoala/fastapi-opa/commit/9588109ff651f7ffc92687129c4956126443fb8c - () https://github.com/busykoala/fastapi-opa/commit/9588109ff651f7ffc92687129c4956126443fb8c -
References () https://github.com/busykoala/fastapi-opa/security/advisories/GHSA-5f5c-8rvc-j8wf - () https://github.com/busykoala/fastapi-opa/security/advisories/GHSA-5f5c-8rvc-j8wf -

16 Jul 2024, 13:43

Type Values Removed Values Added
Summary
  • (es) Fastapi OPA es un middleware fastapi de código abierto que incluye flujo de autenticación. Las solicitudes HTTP `OPCIONES` siempre son permitidas por `OpaMiddleware`, incluso cuando carecen de autenticación, y se pasan directamente a la aplicación. `OpaMiddleware` permite todas las solicitudes HTTP de `OPCIONES` sin evaluarlas con respecto a ninguna política. Si una aplicación proporciona diferentes respuestas a las solicitudes HTTP "OPCIONES" basadas en una entidad existente (por ejemplo, para indicar si se puede escribir en una entidad a nivel del sistema), un atacante no autenticado podría descubrir qué entidades existen dentro de una aplicación. Este problema se solucionó en la versión 2.0.1. Se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.

15 Jul 2024, 20:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-07-15 20:15

Updated : 2024-11-21 09:31


NVD link : CVE-2024-40627

Mitre link : CVE-2024-40627

CVE.ORG link : CVE-2024-40627


JSON object : View

Products Affected

No product.

CWE
CWE-204

Observable Response Discrepancy