CVE-2025-46331
OpenFGA Authorization Bypass
Em resumo
OpenFGA versões 1.3.6 a 1.8.10 possuem uma falha que permite atacantes contornar verificações de autorização através de requisições especialmente preparadas para Check e ListObject, podendo obter acesso não autorizado a recursos protegidos.
Detalhe técnico
OpenFGA versões 1.3.6 a 1.8.10 contêm uma vulnerabilidade de contorno de autorização nos endpoints Check e ListObject (CWE-284). Atacantes podem explorar essa falha enviando requisições especialmente preparadas para contornar a validação de permissões, permitindo acesso não autorizado a recursos sem avaliação apropriada de autorização. A vulnerabilidade afeta versões do Helm chart até 0.2.28 e imagens Docker até v1.8.10.
Resumo gerado e traduzido por IA a partir da descrição oficial.
OpenFGA is a high-performance and flexible authorization/permission engine built for developers and inspired by Google Zanzibar. OpenFGA v1.8.10 to v1.3.6 (Helm chart <= openfga-0.2.28, docker <= v.1.8.10) are vulnerable to authorization bypass when certain Check and ListObject calls are executed. This issue has been patched in version 1.8.11.
CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:N/VI:N/VA:N/SC:H/SI:H/SA:H
Produtos afetados
openfga · openfgaQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →