CVE-2025-55213
OpenFGA Authorization Bypass (Check)
En resumen
OpenFGA versiones 1.9.3 a 1.9.4 tienen un defecto donde las verificaciones de permisos no funcionan correctamente en ciertas situaciones, potencialmente permitiendo que los usuarios accedan a recursos que no deberían.
Detalle técnico
OpenFGA v1.9.3-1.9.4 falla en aplicar correctamente las políticas de autorización durante llamadas específicas de Check y ListObject debido a lógica inadecuada de control de acceso (CWE-863). Un atacante puede eludir las restricciones de permiso previstas explotando estos endpoints para obtener acceso no autorizado a recursos protegidos.
Resumen generado y traducido por IA a partir de la descripción oficial.
OpenFGA is a high-performance and flexible authorization/permission engine built for developers and inspired by Google Zanzibar. OpenFGA v1.9.3 to v1.9.4 ( openfga-0.2.40 <= Helm chart <= openfga-0.2.41, v1.9.3 <= docker <= v.1.9.4) are vulnerable to improper policy enforcement when certain Check and ListObject calls are executed. This vulnerability is fixed in 1.9.5.
CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:N/VI:N/VA:N/SC:H/SI:H/SA:H
Productos afectados
openfga · openfga¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →