一、 漏洞 CVE-2025-49011 基础信息
漏洞信息
                                        # SpiceDB 涉及带有限制的关联检查可能导致预期权限时无权限出现

## 漏洞概述
SpiceDB是一个开源数据库,用于存储和查询细粒度授权数据。在1.44.2版本之前,当涉及到具有条件的箭头关系的模式时,如果解析CheckPermission请求的路径涉及多个带有条件的分支的评估,请求可能会返回预期以外的否定响应。

## 影响版本
- 版本1.44.2之前的所有版本

## 细节
在处理复杂箭头关系(带有条件)的模式时,SpiceDB在解析CheckPermission请求路径的过程中,如果涉及多个带有条件的分支,可能会错误地返回否定响应。1.44.2版本修复了该问题。

## 影响
在未修复的版本中,用户可能会遇到权限检查请求返回不正确的否定响应。官方建议在未升级到1.44.2版本之前,避免在箭头关系上使用条件作为临时解决方案。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
SpiceDB checks involving relations with caveats can result in no permission when permission is expected
来源:美国国家漏洞数据库 NVD
漏洞描述信息
SpiceDB is an open source database for storing and querying fine-grained authorization data. Prior to version 1.44.2, on schemas involving arrows with caveats on the arrow’ed relation, when the path to resolve a CheckPermission request involves the evaluation of multiple caveated branches, requests may return a negative response when a positive response is expected. Version 1.44.2 fixes the issue. As a workaround, do not use caveats in the schema over an arrow’ed relation.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
不恰当实现的标准安全检查
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-49011 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-49011 的情报信息

  • 标题: Release v1.44.2 · authzed/spicedb · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    Release v1.44.2 · authzed/spicedb · GitHub

  • 标题: Checks involving relations with caveats can result in no permission when permission is expected · Advisory · authzed/spicedb · GitHub -- 🔗来源链接

    标签: x_refsource_CONFIRM

    Checks involving relations with caveats can result in no permission when permission is expected · Advisory · authzed/spicedb · GitHub

  • 标题: fix: Checks involving relations with caveats can result in no permiss… · authzed/spicedb@fe8dd9f · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    fix: Checks involving relations with caveats can result in no permiss… · authzed/spicedb@fe8dd9f · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2025-49011