Vroldanbet

**Nome do software vulnerável e versões afetadas** Versões 1.35.0 a 1.37.0 do SpiceDB **Descrição** O SpiceDB é um banco de dados de código aberto para armazenamento e consulta escaláveis de dados de autorização detalhados. Clientes que tenham habilitado `LookupResources2` e apresentem restrições no caminho de avaliação de suas solicitações podem retornar uma permissão `CONDITIONAL` com o contexto marcado como ausente, mesmo quando o contexto foi fornecido. Esse problema ocorre porque `LookupResources2` é o novo padrão no SpiceDB 1.37.0 e está disponível para ativação desde o SpiceDB 1.35.0. **Recomendações** Para as versões do SpiceDB de 1.35.0 a 1.37.0, desative o `LookupResources2` por meio do sinalizador `--enable-experimental-lookup-resources`, definindo-o como `false`. Para versões do SpiceDB anteriores à 1.37.1, atualize para o SpiceDB 1.37.1 para resolver o problema.

**Nome do software vulnerável e versões afetadas** SpiceDB versão 1.3.0 **Descrição** O problema diz respeito ao tratamento de relações com caracteres curinga no SpiceDB, especificamente nas operações `exclusion` ou `intersection`. Quando um usuário utiliza uma relação com caracteres curinga no ramo direito de uma operação `exclusion` ou dentro de uma operação `intersection`, a função `Lookup`/`LookupResources` pode retornar um recurso como “acessível”, mesmo que ele não seja acessível devido à inclusão do caractere curinga. Isso ocorre porque o curinga é totalmente ignorado no despacho da pesquisa na versão 1.3.0, resultando na ignorância do curinga `banned` na exclusão. **Recomendações** Para a versão 1.3.0, atualize para a versão 1.4.0 para resolver o problema. Como solução alternativa temporária, não utilize curingas no lado direito de interseções ou dentro de exclusões.