OpenFGA 的 BatchCheck 请求内去重功能由于列表值缓存键冲突导致错误的授权决策

OpenFGA 中的 CVE-2026-34972 影响使用上下文的 BatchCheck 操作。具体来说，如果在单个 BatchCheck 操作中为相同的用户/对象/关系组合发送多个检查，并且每个检查包含不同的上下文，则可能发生策略不正确的执行。这可能允许攻击者绕过预期的访问限制，从而访问通常受保护的资源。此漏洞的严重程度评分为 CVSS 5.0，表明存在中等风险。当系统无法在每个检查中正确评估上下文时，漏洞会表现出来，从而导致错误的访问决策。

Organizations heavily reliant on OpenFGA for access control and utilizing BatchCheck operations with context are most at risk. This includes applications with complex authorization rules and those that dynamically adjust user permissions based on contextual factors. Specifically, deployments using OpenFGA to manage access to sensitive data or critical infrastructure are particularly vulnerable.

• go / application: Examine OpenFGA logs for unusual BatchCheck requests with multiple checks for the same user/object/relation combination and differing contexts. • go / application: Monitor OpenFGA's internal metrics for anomalies in policy evaluation times or unexpected access grants. • generic web: If OpenFGA is exposed via an API, monitor API requests for patterns indicative of BatchCheck exploitation (multiple similar requests). • generic web: Review OpenFGA configuration files for any unusual settings related to context handling in BatchCheck operations.

1. 2026-04-07Disclosure

   disclosure

1. 已保留2026-03-31
2. 发布日期2026-04-07
3. 修改日期2026-04-08
4. EPSS 更新日期2026-04-14

此漏洞的解决方案是升级到 OpenFGA 版本 1.14.0 或更高版本。此版本包含修复程序，可解决具有上下文的 BatchCheck 操作中策略执行不正确的问题。同时，作为临时缓解措施，请避免使用具有相同用户/对象/关系组合的多个检查的 BatchCheck，尤其是在使用不同的上下文时。如果需要使用 BatchCheck，请确保同一操作中的所有检查都具有相同的上下文。监控 OpenFGA 日志以查找异常的访问模式也可以帮助检测潜在的利用。