CVE-2025-25196

Nome do Software Vulnerável e Versões Afetadas Versões do OpenFGA anteriores à 1.8.5

Descrição O problema refere-se a uma vulnerabilidade de bypass de autorização quando determinadas chamadas Check e ListObject são executadas. Esta vulnerabilidade afeta usuários do OpenFGA sob condições específicas, incluindo a chamada da API Check ou ListObjects com um modelo que possui uma relação diretamente atribuível tanto ao acesso público quanto a um userset do mesmo tipo, e quando uma tupla de acesso público vinculada ao tipo é atribuída a um objeto, mas a tupla userset não é. O campo user da requisição Check deve ser um userset que possua o mesmo tipo que o tipo de usuário da tupla de acesso público vinculada ao tipo. Recomenda-se aos usuários que atualizem para uma versão mais recente para resolver o problema.

Recomendações Para resolver o problema, atualize para a versão 1.8.5, que é compatível com versões anteriores. Como solução temporária, considere restringir o acesso aos endpoints da API Check e ListObjects até que a atualização seja aplicada. Evite usar o campo user na requisição Check com um userset que possua o mesmo tipo que o tipo de usuário da tupla de acesso público vinculada ao tipo até que o problema seja resolvido.