← volver
CVE-2026-24851

OpenFGA Improper Policy Enforcement

CVSS 5.8 MEDIUMEPSS 0.3%CWE-863
En resumen

OpenFGA versiones 1.8.5 a 1.11.2 tienen un defecto donde las verificaciones de autorización pueden permitir o denegar incorrectamente el acceso debido al manejo inadecuado de reglas de permisos. Esto ocurre cuando se configuran ciertas combinaciones de configuraciones de acceso público y no público, exponiendo potencialmente recursos sensibles a usuarios no autorizados.

Detalle técnico

Vulnerabilidad CWE-863 de autorización impropia en OpenFGA que afecta llamadas de la API Check cuando los modelos combinan relaciones públicas y no públicas vinculadas a tipos con asignaciones de tuplas superpuestas. La vulnerabilidad requiere una configuración específica del modelo de permisos con IDs de objeto ordenados lexicográficamente y tuplas de tipo de acceso mixto; la explotación podría eludir controles de autorización previstos. Corregido en v1.11.3.

Resumen generado y traducido por IA a partir de la descripción oficial.
OpenFGA is a high-performance and flexible authorization/permission engine built for developers and inspired by Google Zanzibar. OpenFGA v1.8.5 to v1.11.2 ( openfga-0.2.22<= Helm chart <= openfga-0.2.51, v.1.8.5 <= docker <= v.1.11.2) are vulnerable to improper policy enforcement when certain Check calls are executed. The vulnerability requires a model that has a a relation directly assignable by a type bound public access and assignable by type bound non-public access, a tuple assigned for the relation that is a type bound public access, a tuple assigned for the same object with the same relation that is not type bound public access, and a tuple assigned for a different object that has an object ID lexicographically larger with the same user and relation which is not type bound public access. This vulnerability is fixed in v1.11.3.
CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:N/VI:N/VA:N/SC:H/SI:H/SA:H
Productos afectados
openfga · openfga

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://github.com/openfga/openfga/releases/tag/v1.11.3https://github.com/openfga/openfga/security/advisories/GHSA-jq9f-gm9w-rwm9