Plataforma
go
Componente
github.com/openfga/openfga
Corrigido em
1.8.1
1.14.0
A vulnerabilidade CVE-2026-34972 afeta o componente OpenFGA, especificamente em cenários onde operações BatchCheck são utilizadas com múltiplos checks para a mesma combinação de usuário, objeto e relação, mas com contextos distintos. Essa condição pode resultar em uma aplicação incorreta das políticas de acesso, comprometendo a segurança do sistema. Usuários que executam BatchCheck com contexto e enviam múltiplos checks para a mesma combinação de usuário/objeto/relação com contextos diferentes são potencialmente afetados. A correção para essa vulnerabilidade está disponível na versão 1.14.0 do OpenFGA.
A vulnerabilidade CVE-2026-34972 no OpenFGA afeta as operações BatchCheck que utilizam contexto. Especificamente, se múltiplas verificações são enviadas dentro de uma única operação BatchCheck para a mesma combinação de usuário/objeto/relação, e cada verificação inclui um contexto diferente, existe a possibilidade de aplicação incorreta das políticas. Isso pode permitir que um atacante ignore as restrições de acesso pretendidas, obtendo acesso a recursos que normalmente estariam protegidos. A severidade desta vulnerabilidade é classificada como CVSS 5.0, indicando um risco moderado. A vulnerabilidade se manifesta quando o sistema não avalia corretamente o contexto em cada verificação, levando a uma decisão de acesso incorreta.
A exploração desta vulnerabilidade requer um conhecimento profundo da estrutura de políticas do OpenFGA e a capacidade de construir solicitações BatchCheck cuidadosamente elaboradas. Um atacante precisaria identificar uma combinação de usuário/objeto/relação onde a aplicação incorreta do contexto possa levar a uma elisão de acesso. A dificuldade da exploração depende da complexidade das políticas do OpenFGA e da capacidade do atacante de manipular as solicitações BatchCheck. O contexto desempenha um papel crucial; a variação no contexto entre as verificações é o que desencadeia a vulnerabilidade. A falta de validação adequada do contexto no processamento de BatchCheck permite essa elisão.
Organizations heavily reliant on OpenFGA for access control and utilizing BatchCheck operations with context are most at risk. This includes applications with complex authorization rules and those that dynamically adjust user permissions based on contextual factors. Specifically, deployments using OpenFGA to manage access to sensitive data or critical infrastructure are particularly vulnerable.
• go / application: Examine OpenFGA logs for unusual BatchCheck requests with multiple checks for the same user/object/relation combination and differing contexts. • go / application: Monitor OpenFGA's internal metrics for anomalies in policy evaluation times or unexpected access grants. • generic web: If OpenFGA is exposed via an API, monitor API requests for patterns indicative of BatchCheck exploitation (multiple similar requests). • generic web: Review OpenFGA configuration files for any unusual settings related to context handling in BatchCheck operations.
disclosure
Status do Exploit
EPSS
0.04% (percentil 11%)
CISA SSVC
Vetor CVSS
A solução para esta vulnerabilidade é atualizar para a versão 1.14.0 do OpenFGA ou superior. Esta versão inclui correções que abordam o problema da aplicação incorreta das políticas em operações BatchCheck com contexto. Enquanto isso, como medida de mitigação temporária, evite o uso de BatchCheck com múltiplas verificações para a mesma combinação de usuário/objeto/relação, especialmente quando se utilizam contextos diferentes. Se for necessário utilizar BatchCheck, certifique-se de que todas as verificações dentro da mesma operação tenham o mesmo contexto. Monitorar os logs do OpenFGA em busca de padrões de acesso incomuns também pode ajudar a detectar possíveis explorações.
Actualice a la versión 1.14.0 o superior para mitigar la vulnerabilidad. Esta actualización corrige un problema de deduplicación en BatchCheck que podría resultar en decisiones de autorización incorrectas debido a colisiones en la clave de caché.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
BatchCheck é uma operação no OpenFGA que permite verificar múltiplas permissões de uma só vez, melhorando a eficiência em comparação com as verificações individuais.
O contexto fornece informações adicionais que podem afetar a avaliação de uma política de acesso. Ele permite uma maior granularidade e flexibilidade na definição de políticas.
Você pode verificar a versão do OpenFGA executando o comando openfga version na linha de comando.
Como mitigação temporária, evite o uso de BatchCheck com múltiplas verificações para a mesma combinação de usuário/objeto/relação com contextos diferentes.
O OpenFGA fornece documentação e exemplos para ajudar a projetar políticas seguras. Considere realizar testes de penetração para identificar possíveis vulnerabilidades.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.