关键漏洞信息 漏洞概要 名称: OpenFGA Improper Policy Enforcement ID: GHSA-jq9f-gm9w-rwm9 严重性: 中等 影响版本 GitHub Package: github.com/openfga/openfga (Go) >=1.8.5 =0.2.22 =1.8.5 <=1.11.2 影响 当执行某些 Check 调用时,受影响的 OpenFGA 版本在某些条件下存在不正确的策略执行问题。 影响条件 使用 OpenFGA v1.8.5 到 v1.11.2。 模型中有由类型绑定公共访问(type bound public access)直接赋予的关系,并且有由类型绑定非公共访问赋予的关系。 存在对于对象的类型绑定公共访问关系的元组的赋值。 存在对于对象类型不是类型绑定公共访问的相同关系的赋值。 存在一个对于具有较大用户关系的同一对象的不同关系的赋值,该关系不是类型绑定公共访问。 修复建议 升级到 v1.11.3。此升级是向后兼容的。 CVSS v4 基本度量标准 严重性: 5.8/10 攻击向量: 网络 攻击复杂性: 低 攻击需求: 存在 所需权限: 低 用户交互需求: 无 漏洞系统影响度量 机密性: 无 完整性: 无 可用性: 无 后续系统影响度量 机密性: 高 完整性: 高 可用性: 高 CVE ID CVE-2026-24851 弱点 无 CWE