Adriantampu

**Nome do Software Vulnerável e Versões Afetadas** Versões do OpenFGA anteriores à 1.8.5 **Descrição** O problema refere-se a uma vulnerabilidade de bypass de autorização quando determinadas chamadas Check e ListObject são executadas. Esta vulnerabilidade afeta usuários do OpenFGA sob condições específicas, incluindo a chamada da API Check ou ListObjects com um modelo que possui uma relação diretamente atribuível tanto ao acesso público quanto a um userset do mesmo tipo, e quando uma tupla de acesso público vinculada ao tipo é atribuída a um objeto, mas a tupla userset não é. O campo `user` da requisição Check deve ser um userset que possua o mesmo tipo que o tipo de usuário da tupla de acesso público vinculada ao tipo. Recomenda-se aos usuários que atualizem para uma versão mais recente para resolver o problema. **Recomendações** Para resolver o problema, atualize para a versão 1.8.5, que é compatível com versões anteriores. Como solução temporária, considere restringir o acesso aos endpoints da API Check e ListObjects até que a atualização seja aplicada. Evite usar o campo `user` na requisição Check com um userset que possua o mesmo tipo que o tipo de usuário da tupla de acesso público vinculada ao tipo até que o problema seja resolvido.