CVE-2024-48909

Versões 1.35.0 a 1.37.0 do SpiceDB

O SpiceDB é um banco de dados de código aberto para armazenamento e consulta escaláveis de dados de autorização detalhados. Clientes que tenham habilitado LookupResources2 e apresentem restrições no caminho de avaliação de suas solicitações podem retornar uma permissão CONDITIONAL com o contexto marcado como ausente, mesmo quando o contexto foi fornecido. Esse problema ocorre porque LookupResources2 é o novo padrão no SpiceDB 1.37.0 e está disponível para ativação desde o SpiceDB 1.35.0.

Para as versões do SpiceDB de 1.35.0 a 1.37.0, desative o LookupResources2 por meio do sinalizador --enable-experimental-lookup-resources, definindo-o como false.

Para versões do SpiceDB anteriores à 1.37.1, atualize para o SpiceDB 1.37.1 para resolver o problema.