CVE-2026-40293

Name of the Vulnerable Software and Affected Versions OpenFGA versões 0.1.4 até 1.13.1

Description Quando configurado para usar autenticação por chave pré-compartilhada (preshared-key) com o playground integrado ativado, o servidor local inclui a chave de API pré-compartilhada na resposta HTML do endpoint '/playground'. Este endpoint é ativado por padrão e não requer autenticação, pois é destinado ao desenvolvimento local e depuração, não sendo projetado para ambientes de produção. O problema afeta instâncias executadas com o --authn-method definido como preshared, onde o playground está ativado e acessível além do localhost ou de redes confiáveis.

Recommendations Atualizar para o OpenFGA versão 1.14.0. Desativar o playground executando ./openfga run --playground-enabled=false.