Plattform
go
Komponente
github.com/openfga/openfga
Behoben in
1.8.1
1.14.0
CVE-2026-34972 describes a policy enforcement bypass vulnerability in OpenFGA. This flaw allows attackers to circumvent intended access controls under specific conditions, potentially leading to unauthorized data access or actions. The vulnerability affects versions prior to 1.14.0 and is resolved with an upgrade to that version.
CVE-2026-34972 in OpenFGA betrifft BatchCheck-Operationen, die einen Kontext verwenden. Wenn innerhalb einer einzelnen BatchCheck-Operation mehrere Prüfungen für dieselbe Benutzer-/Objekt-/Beziehungs-Kombination gesendet werden und jede Prüfung einen anderen Kontext enthält, besteht die Möglichkeit einer fehlerhaften Durchsetzung von Richtlinien. Dies könnte es einem Angreifer ermöglichen, beabsichtigte Zugriffsbeschränkungen zu umgehen und auf Ressourcen zuzugreifen, die normalerweise geschützt wären. Die Schwere dieser Schwachstelle wird mit CVSS 5.0 bewertet, was ein moderates Risiko anzeigt. Die Schwachstelle tritt auf, wenn das System den Kontext in jeder Prüfung nicht korrekt auswertet, was zu einer falschen Zugriffsbeschluss führt.
Die Ausnutzung dieser Schwachstelle erfordert ein tiefes Verständnis der Richtlinienstruktur von OpenFGA und die Fähigkeit, sorgfältig gestaltete BatchCheck-Anfragen zu erstellen. Ein Angreifer müsste eine Benutzer-/Objekt-/Beziehungs-Kombination identifizieren, bei der eine fehlerhafte Kontextanwendung zu einer Zugriffsumgehung führen kann. Der Schwierigkeitsgrad der Ausnutzung hängt von der Komplexität der OpenFGA-Richtlinien und der Fähigkeit des Angreifers ab, BatchCheck-Anfragen zu manipulieren. Der Kontext spielt eine entscheidende Rolle; die Variation des Kontexts zwischen den Prüfungen ist es, die die Schwachstelle auslöst. Das Fehlen einer ordnungsgemäßen Kontextvalidierung in der BatchCheck-Verarbeitung ermöglicht diese Umgehung.
Organizations heavily reliant on OpenFGA for access control and utilizing BatchCheck operations with context are most at risk. This includes applications with complex authorization rules and those that dynamically adjust user permissions based on contextual factors. Specifically, deployments using OpenFGA to manage access to sensitive data or critical infrastructure are particularly vulnerable.
• go / application: Examine OpenFGA logs for unusual BatchCheck requests with multiple checks for the same user/object/relation combination and differing contexts. • go / application: Monitor OpenFGA's internal metrics for anomalies in policy evaluation times or unexpected access grants. • generic web: If OpenFGA is exposed via an API, monitor API requests for patterns indicative of BatchCheck exploitation (multiple similar requests). • generic web: Review OpenFGA configuration files for any unusual settings related to context handling in BatchCheck operations.
disclosure
Exploit-Status
EPSS
0.04% (11% Perzentil)
CISA SSVC
CVSS-Vektor
Die Lösung für diese Schwachstelle besteht darin, auf OpenFGA-Version 1.14.0 oder höher zu aktualisieren. Diese Version enthält Korrekturen, die das Problem der fehlerhaften Durchsetzung von Richtlinien in BatchCheck-Operationen mit Kontext beheben. Als vorübergehende Abhilfemaßnahme vermeiden Sie die Verwendung von BatchCheck mit mehreren Prüfungen für dieselbe Benutzer-/Objekt-/Beziehungs-Kombination, insbesondere wenn unterschiedliche Kontexte verwendet werden. Wenn die Verwendung von BatchCheck erforderlich ist, stellen Sie sicher, dass alle Prüfungen innerhalb derselben Operation denselben Kontext haben. Die Überwachung der OpenFGA-Protokolle auf ungewöhnliche Zugriffsmuster kann ebenfalls dazu beitragen, potenzielle Ausnutzungen zu erkennen.
Actualice a la versión 1.14.0 o superior para mitigar la vulnerabilidad. Esta actualización corrige un problema de deduplicación en BatchCheck que podría resultar en decisiones de autorización incorrectas debido a colisiones en la clave de caché.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
BatchCheck ist eine Operation in OpenFGA, die es ermöglicht, mehrere Berechtigungen gleichzeitig zu prüfen und so die Effizienz im Vergleich zu einzelnen Prüfungen zu verbessern.
Der Kontext liefert zusätzliche Informationen, die die Auswertung einer Zugriffsberechtigung beeinflussen können. Er ermöglicht eine größere Granularität und Flexibilität bei der Definition von Richtlinien.
Sie können die OpenFGA-Version überprüfen, indem Sie den Befehl openfga version in der Befehlszeile ausführen.
Als vorübergehende Abhilfemaßnahme vermeiden Sie die Verwendung von BatchCheck mit mehreren Prüfungen für dieselbe Benutzer-/Objekt-/Beziehungs-Kombination mit unterschiedlichen Kontexten.
OpenFGA bietet Dokumentation und Beispiele, um bei der Gestaltung sicherer Richtlinien zu helfen. Erwägen Sie, Penetrationstests durchzuführen, um potenzielle Schwachstellen zu identifizieren.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine go.mod-Datei hoch und wir sagen dir sofort, ob du betroffen bist.