← volver
CVE-2025-64751

OpenFGA Improper Policy Enforcement

CVSS 5.8 MEDIUMEPSS 0.3%CWE-285
En resumen

OpenFGA, un motor de autorización y control de acceso, falla en aplicar correctamente las políticas de permisos en ciertas verificaciones. Esto significa que una aplicación usando OpenFGA puede conceder o denegar acceso de forma incorrecta.

Detalle técnico

OpenFGA versiones 1.4.0 a 1.11.0 contienen una falla en la aplicación de políticas de autorización en las llamadas Check y ListObject, permitiendo potencialmente elusión de autorizaciones o decisiones de permiso incorrectas. La vulnerabilidad afecta versiones Helm openfga-0.1.34 a openfga-0.2.48 e imágenes Docker hasta v.1.11.0; la corrección requiere actualización a la versión 1.11.1 o posterior.

Resumen generado y traducido por IA a partir de la descripción oficial.
OpenFGA is a high-performance and flexible authorization/permission engine built for developers and inspired by Google Zanzibar. OpenFGA v1.4.0 to v1.11.0 ( openfga-0.1.34 <= Helm chart <= openfga-0.2.48, v.1.4.0 <= docker <= v.1.11.0) are vulnerable to improper policy enforcement when certain Check and ListObject calls are executed. This issue has been patched in version 1.11.1.
CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:N/VI:N/VA:N/SC:H/SI:H/SA:H
Productos afectados
openfga · openfga

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://github.com/openfga/openfga/releases/tag/v1.11.1https://github.com/openfga/openfga/security/advisories/GHSA-2c64-vmv2-hgfc