Lowecordell

**Nome do software vulnerável e versões afetadas** Versões do SpiceDB anteriores à v1.30.1 **Descrição** O problema decorre do uso de um formulário de relação específico, `relation folder: folder | folder#parent`, combinado com uma seta, como `folder->view`, o que pode fazer com que o LookupSubjects retorne apenas resultados parciais. Isso ocorre quando o mesmo tipo de assunto é usado várias vezes em uma relação e existem relações para ambos os tipos de assunto, juntamente com o uso de uma seta sobre a relação. Qualquer usuário que dependa de LookupSubjects para decisões de autorização negativas com versões anteriores à v1.30.1 é afetado. **Recomendações** Para versões anteriores à v1.30.1, atualize para a versão v1.30.1 para resolver o problema. Como solução alternativa temporária, considere evitar o uso de LookupSubjects para decisões de autorização negativas e/ou evite usar o esquema com falha.

**Name of the Vulnerable Software and Affected Versions** SpiceDB version 1.22.0 **Description** The issue affects users making negative authorization decisions based on the results of a `LookupResources` request. This can lead to incorrect access control, where some subjects may not have access to resources they should, or some users may have access to resources they should not. The `LookupResources` function is not intended for gating access and should be used in conjunction with the `Check` API. Version 1.22.0 includes a warning about this bug. Users are advised to upgrade to version 1.22.2 to resolve the issue. **Recommendations** For SpiceDB version 1.22.0, upgrade to version 1.22.2 to resolve the issue. If unable to upgrade, avoid using `LookupResources` for negative authorization decisions as a temporary workaround.