CVE-2026-55689

Nome do Software Vulnerável e Versões Afetadas OpenFGA versões anteriores a 1.18.0

Description O autenticador OIDC não valida a reivindicação de audiência (aud) do JWT quando nenhuma audiência está configurada. Em implantações onde um único provedor de identidade emite tokens para múltiplos serviços, um token destinado a um serviço não relacionado poderia autenticar no OpenFGA. Isso ocorre quando authn.method está definido como oidc e authn.oidc.issuer está configurado sem a definição da variável authn.oidc.audience.

Recommendations Atualize para a versão 1.18.0 ou superior. Certifique-se de que tanto authn.oidc.issuer quanto authn.oidc.audience estejam configurados para permitir a validação adequada.