Plateforme
go
Composant
github.com/openfga/openfga
Corrigé dans
1.8.1
1.14.0
CVE-2026-34972 describes a policy enforcement bypass vulnerability in OpenFGA. This flaw allows attackers to circumvent intended access controls under specific conditions, potentially leading to unauthorized data access or actions. The vulnerability affects versions prior to 1.14.0 and is resolved with an upgrade to that version.
La vulnérabilité CVE-2026-34972 dans OpenFGA affecte les opérations BatchCheck qui utilisent un contexte. Plus précisément, si plusieurs vérifications sont envoyées dans une seule opération BatchCheck pour la même combinaison utilisateur/objet/relation, et que chaque vérification inclut un contexte différent, il existe un risque d'application incorrecte des politiques. Cela pourrait permettre à un attaquant de contourner les restrictions d'accès prévues, obtenant ainsi un accès à des ressources qui seraient normalement protégées. La gravité de cette vulnérabilité est notée CVSS 5.0, ce qui indique un risque modéré. La vulnérabilité se manifeste lorsque le système n'évalue pas correctement le contexte dans chaque vérification, ce qui conduit à une décision d'accès incorrecte.
L'exploitation de cette vulnérabilité nécessite une compréhension approfondie de la structure des politiques d'OpenFGA et la capacité de créer des requêtes BatchCheck soigneusement conçues. Un attaquant devrait identifier une combinaison utilisateur/objet/relation où une application incorrecte du contexte peut conduire à un contournement d'accès. La difficulté d'exploitation dépend de la complexité des politiques OpenFGA et de la capacité de l'attaquant à manipuler les requêtes BatchCheck. Le contexte joue un rôle crucial ; la variation du contexte entre les vérifications est ce qui déclenche la vulnérabilité. L'absence de validation appropriée du contexte dans le traitement de BatchCheck permet ce contournement.
Organizations heavily reliant on OpenFGA for access control and utilizing BatchCheck operations with context are most at risk. This includes applications with complex authorization rules and those that dynamically adjust user permissions based on contextual factors. Specifically, deployments using OpenFGA to manage access to sensitive data or critical infrastructure are particularly vulnerable.
• go / application: Examine OpenFGA logs for unusual BatchCheck requests with multiple checks for the same user/object/relation combination and differing contexts. • go / application: Monitor OpenFGA's internal metrics for anomalies in policy evaluation times or unexpected access grants. • generic web: If OpenFGA is exposed via an API, monitor API requests for patterns indicative of BatchCheck exploitation (multiple similar requests). • generic web: Review OpenFGA configuration files for any unusual settings related to context handling in BatchCheck operations.
disclosure
Statut de l'Exploit
EPSS
0.04% (percentile 11%)
CISA SSVC
Vecteur CVSS
La solution à cette vulnérabilité est de mettre à niveau vers la version 1.14.0 d'OpenFGA ou supérieure. Cette version inclut des correctifs qui corrigent le problème d'application incorrecte des politiques dans les opérations BatchCheck avec contexte. En attendant, comme mesure d'atténuation temporaire, évitez d'utiliser BatchCheck avec plusieurs vérifications pour la même combinaison utilisateur/objet/relation, en particulier lorsque vous utilisez des contextes différents. Si l'utilisation de BatchCheck est nécessaire, assurez-vous que toutes les vérifications au sein de la même opération ont le même contexte. Surveiller les journaux d'OpenFGA à la recherche de schémas d'accès inhabituels peut également aider à détecter d'éventuelles exploitations.
Actualice a la versión 1.14.0 o superior para mitigar la vulnerabilidad. Esta actualización corrige un problema de deduplicación en BatchCheck que podría resultar en decisiones de autorización incorrectas debido a colisiones en la clave de caché.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
BatchCheck est une opération dans OpenFGA qui permet de vérifier plusieurs autorisations à la fois, améliorant ainsi l'efficacité par rapport aux vérifications individuelles.
Le contexte fournit des informations supplémentaires qui peuvent affecter l'évaluation d'une politique d'accès. Il permet une plus grande granularité et flexibilité dans la définition des politiques.
Vous pouvez vérifier la version d'OpenFGA en exécutant la commande openfga version dans la ligne de commande.
En tant que mesure d'atténuation temporaire, évitez d'utiliser BatchCheck avec plusieurs vérifications pour la même combinaison utilisateur/objet/relation avec des contextes différents.
OpenFGA fournit une documentation et des exemples pour aider à concevoir des politiques sécurisées. Envisagez d'effectuer des tests d'intrusion pour identifier les vulnérabilités potentielles.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.