Platform
go
Component
github.com/openfga/openfga
Opgelost in
1.8.1
1.14.0
CVE-2026-34972 betreft een probleem in OpenFGA waarbij BatchCheck operaties, onder specifieke omstandigheden, onjuiste policy enforcement kunnen veroorzaken wanneer meerdere checks voor dezelfde object/relatie/gebruiker combinatie worden verzonden. Deze kwetsbaarheid kan leiden tot onbedoelde toegang of ontzegging van toegang. De kwetsbaarheid treft versies van OpenFGA vóór v1.14.0. Een update naar v1.14.0 lost dit probleem op.
CVE-2026-34972 in OpenFGA beïnvloedt BatchCheck-operaties die context gebruiken. Specifiek, als meerdere controles binnen een enkele BatchCheck-operatie worden verzonden voor dezelfde gebruikers-/object-/relatiecombinatie, en elke controle een andere context bevat, is er een mogelijkheid van onjuiste beleidsafhandeling. Dit kan een aanvaller in staat stellen om bedoelde toegangsbeperkingen te omzeilen en toegang te krijgen tot resources die normaal gesproken beschermd zouden zijn. De ernst van deze kwetsbaarheid wordt beoordeeld als CVSS 5.0, wat een matig risico aangeeft. De kwetsbaarheid manifesteert zich wanneer het systeem de context in elke controle niet correct evalueert, wat leidt tot een onjuiste toegangsbeslissing.
Het exploiteren van deze kwetsbaarheid vereist een diepgaand begrip van de beleidsstructuur van OpenFGA en het vermogen om zorgvuldig ontworpen BatchCheck-verzoeken te maken. Een aanvaller zou een gebruikers-/object-/relatiecombinatie moeten identificeren waarbij een onjuiste contexttoepassing kan leiden tot een omzeiling van de toegang. De moeilijkheidsgraad van de exploitatie hangt af van de complexiteit van de OpenFGA-beleidsregels en het vermogen van de aanvaller om BatchCheck-verzoeken te manipuleren. Context speelt een cruciale rol; de variatie in context tussen controles is wat de kwetsbaarheid triggert. Het ontbreken van een goede contextvalidatie in de BatchCheck-verwerking maakt deze omzeiling mogelijk.
Organizations heavily reliant on OpenFGA for access control and utilizing BatchCheck operations with context are most at risk. This includes applications with complex authorization rules and those that dynamically adjust user permissions based on contextual factors. Specifically, deployments using OpenFGA to manage access to sensitive data or critical infrastructure are particularly vulnerable.
• go / application: Examine OpenFGA logs for unusual BatchCheck requests with multiple checks for the same user/object/relation combination and differing contexts. • go / application: Monitor OpenFGA's internal metrics for anomalies in policy evaluation times or unexpected access grants. • generic web: If OpenFGA is exposed via an API, monitor API requests for patterns indicative of BatchCheck exploitation (multiple similar requests). • generic web: Review OpenFGA configuration files for any unusual settings related to context handling in BatchCheck operations.
disclosure
Exploit Status
EPSS
0.04% (11% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor deze kwetsbaarheid is om te upgraden naar OpenFGA-versie 1.14.0 of hoger. Deze versie bevat fixes die het probleem van onjuiste beleidsafhandeling in BatchCheck-operaties met context aanpakken. In de tussentijd, als tijdelijke mitigatie, vermijd het gebruik van BatchCheck met meerdere controles voor dezelfde gebruikers-/object-/relatiecombinatie, vooral wanneer verschillende contexten worden gebruikt. Als BatchCheck nodig is, zorg er dan voor dat alle controles binnen dezelfde operatie dezelfde context hebben. Het monitoren van OpenFGA-logboeken op ongebruikelijke toegangspatronen kan ook helpen bij het detecteren van mogelijke uitbuiting.
Actualice a la versión 1.14.0 o superior para mitigar la vulnerabilidad. Esta actualización corrige un problema de deduplicación en BatchCheck que podría resultar en decisiones de autorización incorrectas debido a colisiones en la clave de caché.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
BatchCheck is een operatie in OpenFGA waarmee u meerdere permissies tegelijkertijd kunt controleren, waardoor de efficiëntie wordt verbeterd in vergelijking met individuele controles.
Context biedt aanvullende informatie die de evaluatie van een toegangsbeleid kan beïnvloeden. Het maakt een grotere granulariteit en flexibiliteit mogelijk bij het definiëren van beleid.
U kunt de OpenFGA-versie controleren door de opdracht openfga version in de opdrachtregel uit te voeren.
Als tijdelijke mitigatie, vermijd het gebruik van BatchCheck met meerdere controles voor dezelfde gebruikers-/object-/relatiecombinatie met verschillende contexten.
OpenFGA biedt documentatie en voorbeelden om te helpen bij het ontwerpen van veilige beleidsregels. Overweeg om penetratietests uit te voeren om potentiële kwetsbaarheden te identificeren.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.