CVE-2025-48371
OpenFGA Authorization Bypass
Em resumo
OpenFGA, um sistema de permissões, tem um erro nas versões 1.8.0 a 1.8.12 que permite contornar verificações de autorização em condições específicas envolvendo como as permissões são definidas. Isso significa que um atacante poderia acessar recursos que não deveria ter acesso.
Detalhe técnico
Uma vulnerabilidade de contorno de autorização existe nas APIs Check e ListObjects do OpenFGA quando um modelo de autorização define uma relação atribuível tanto por acesso público vinculado a tipo quanto por usersets, combinado com tuplas contextuais onde o campo de usuário é um userset mas tuplas de acesso público vinculado a tipo estão ausentes. A vulnerabilidade requer configuração específica do modelo e condições de tuplas contextuais para ser explorada, permitindo potencialmente acesso não autorizado a recursos protegidos.
Resumo gerado e traduzido por IA a partir da descrição oficial.
OpenFGA is an authorization/permission engine. OpenFGA versions 1.8.0 through 1.8.12 (corresponding to Helm chart openfga-0.2.16 through openfga-0.2.30 and docker 1.8.0 through 1.8.12) are vulnerable to authorization bypass when certain Check and ListObject calls are executed. Users are affected under four specific conditions: First, calling Check API or ListObjects with an authorization model that has a relationship directly assignable by both type bound public access and userset; second, there are check or list object queries with contextual tuples for the relationship that can be directly assignable by both type bound public access and userset; third, those contextual tuples’s user field is an userset; and finally, type bound public access tuples are not assigned to the relationship. Users should upgrade to version 1.8.13 to receive a patch. The upgrade is backwards compatible.
CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:N/VI:N/VA:N/SC:H/SI:H/SA:H