发布日期：2024-08-30
更新日期：2024-10-29

受影响系统：

Open Policy Agent Open Policy Agent < 0.68.0

描述：

---

CVE(CAN) ID: CVE-2024-8260

Open Policy Agent（OPA）是Open Policy Agent开源的一个开源的通用策略引擎，可在整个堆栈中实现统一的、上下文感知的策略实施。
Open Policy Agent 0.68.0之前版本由于输入验证不当，存在SMB强制身份认证漏洞，攻击者可将任意 SMB 共享（而不是 Rego 文件）作为参数传递给 OPA CLI 或 OPA Go 库的某个函数。

<**>

建议：

---

厂商补丁：

Open Policy Agent
-----------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://github.com/open-policy-agent/opa/releases/tag/v0.68.0

浏览次数：138
严重程度：0（网友投票）