← voltar
CVE-2025-64751

OpenFGA Improper Policy Enforcement

CVSS 5.8 MEDIUMEPSS 0.3%CWE-285
Em resumo

O OpenFGA, um motor de autorização e controle de acesso, falha em aplicar corretamente as políticas de permissão em certas verificações. Isso significa que um aplicativo usando OpenFGA pode conceder ou negar acesso de forma incorreta.

Detalhe técnico

OpenFGA versões 1.4.0 a 1.11.0 possuem falha na aplicação de políticas de autorização nas chamadas Check e ListObject, potencialmente permitindo bypass de autorizações ou decisões de permissão incorretas. A vulnerabilidade afeta versões Helm openfga-0.1.34 a openfga-0.2.48 e imagens Docker até v.1.11.0; a correção requer atualização para a versão 1.11.1 ou posterior.

Resumo gerado e traduzido por IA a partir da descrição oficial.
OpenFGA is a high-performance and flexible authorization/permission engine built for developers and inspired by Google Zanzibar. OpenFGA v1.4.0 to v1.11.0 ( openfga-0.1.34 <= Helm chart <= openfga-0.2.48, v.1.4.0 <= docker <= v.1.11.0) are vulnerable to improper policy enforcement when certain Check and ListObject calls are executed. This issue has been patched in version 1.11.1.
CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:N/VI:N/VA:N/SC:H/SI:H/SA:H
Produtos afetados
openfga · openfga

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://github.com/openfga/openfga/releases/tag/v1.11.1https://github.com/openfga/openfga/security/advisories/GHSA-2c64-vmv2-hgfc