Vi algumas pessoas com esse problema e resolvi ajudar. Em segurancaService.js, na função cadastrarAcl, tive que adicionar um where: { id: dto.usuarioId } a constante novoUsuario, caso você tenha mais de um usuário no banco de dados e estiver tentando cadastrar a role e permissões, sem o where sempre retornara o primeiro usuário da tabela usuários, e talvez com arrays vazios em usuarios_roles e usuarios_permissoes caso você ainda não tenha cadastrado no primeiro usuario da tabela.
