CVE-2025-55213
OpenFGA Authorization Bypass (Check)
Em resumo
O OpenFGA versões 1.9.3 a 1.9.4 possui um erro que faz com que as verificações de permissão não funcionem corretamente em certas situações, permitindo potencialmente que usuários acessem recursos que não deveriam.
Detalhe técnico
O OpenFGA v1.9.3-1.9.4 falha em aplicar corretamente as políticas de autorização durante chamadas específicas de Check e ListObject devido a lógica inadequada de controle de acesso (CWE-863). Um atacante pode contornar as restrições de permissão pretendidas ao explorar esses endpoints para obter acesso não autorizado a recursos protegidos.
Resumo gerado e traduzido por IA a partir da descrição oficial.
OpenFGA is a high-performance and flexible authorization/permission engine built for developers and inspired by Google Zanzibar. OpenFGA v1.9.3 to v1.9.4 ( openfga-0.2.40 <= Helm chart <= openfga-0.2.41, v1.9.3 <= docker <= v.1.9.4) are vulnerable to improper policy enforcement when certain Check and ListObject calls are executed. This vulnerability is fixed in 1.9.5.
CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:N/VI:N/VA:N/SC:H/SI:H/SA:H
Produtos afetados
openfga · openfgaQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →