MEDIUMCVE-2026-33729

OpenFGAは、キャッシュされたキーを介した認証バイパスがあります

Q: CVE-2026-33729 とは何ですか？（OpenFGA）

OpenFGAは、開発者向けに構築され、Google Zanzibarに触発された、高性能で柔軟な認証/権限エンジンです。

Q: OpenFGA の CVE-2026-33729 による影響を受けていますか？

条件とキャッシュが有効になっているモデルでOpenFGAを使用している場合、誤った認証が発生する可能性があります。これにより、不正アクセスが可能になったり、正当なアクセスが拒否されたりする可能性があります。

Q: OpenFGA の CVE-2026-33729 を修正するにはどうすればよいですか？

一時的な措置として、認証モデルでキャッシュを無効にしてください。ただし、これによりパフォーマンスが影響を受ける可能性があります。

Q: CVE-2026-33729 は積極的に悪用されていますか？

脆弱性と修正の詳細については、OpenFGAの公式ドキュメントとバージョン1.13.1のリリースノートを参照してください。

Q: CVE-2026-33729 に関する OpenFGA の公式アドバイザリはどこで確認できますか？

CVSSスコアはまだ決定されていません。ただし、潜在的な影響を考慮すると、この脆弱性を高い優先度で扱うことをお勧めします。

プラットフォーム

コンポーネント

openfga/openfga

修正版

1.13.2

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-33729は、OpenFGAにおいて、条件付きモデルを使用し、キャッシュが有効になっている場合に発生する可能性のある脆弱性です。この脆弱性により、異なるリクエストに対して同じキャッシュ結果が使用される可能性があります。影響を受けるバージョンは1.13.1以前です。この問題は、バージョン1.13.1で修正されています。

影響と攻撃シナリオ

OpenFGAのCVE-2026-33729は、1.13.1より前のバージョンに影響します。特定の条件下では、条件付きでキャッシュが有効になっているモデルでは、2つの異なるチェックリクエストが同じキャッシュキーを生成する可能性があります。これにより、OpenFGAが別のリクエストに対して以前にキャッシュされた結果を再利用し、誤った認証につながる可能性があります。認証モデルが条件評価に依存し、キャッシュが有効になっている場合、影響は大きくなります。これにより、リソースへの不正アクセスが可能になったり、正当なアクセスが拒否されたりする可能性があります。CVSSスコアはまだ決定されていませんが、誤った認証の可能性は、迅速な対応が必要です。

悪用の状況

この脆弱性の悪用には、OpenFGAの認証モデル構造を深く理解し、チェックリクエストを操作して重複するキャッシュキーを生成する能力が必要です。攻撃者は、この問題の影響を受けやすいモデル内の特定の条件を特定する必要があります。悪用の可能性は、モデルの複雑さとキャッシュ構成に依存します。悪用は簡単ではありませんが、誤った認証の潜在的な影響により、この脆弱性は重要な懸念事項となっています。潜在的な攻撃ベクトルを特定するために、ペネトレーションテストを実施することをお勧めします。

リスク対象者翻訳中…

Organizations heavily reliant on OpenFGA for fine-grained access control, particularly those employing complex models with conditions and caching enabled, are at increased risk. This includes applications requiring dynamic authorization based on user attributes or contextual factors. Teams using older OpenFGA deployments are also more vulnerable.

検出手順翻訳中…

• go / server:

ps aux | grep -i openfga

• go / server:

journalctl -u openfga --since "1 hour ago" | grep -i "cache key collision"

• generic web: Check OpenFGA server logs for errors related to cache key generation or unexpected authorization results. • generic web: Review OpenFGA model configurations to identify those utilizing conditions and caching.

攻撃タイムライン

2026-03-27Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

EPSS

0.01% (2% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

影響を受けるソフトウェア

コンポーネントopenfga/openfga

ベンダーopenfga

影響範囲修正版

< 1.13.1 – < 1.13.11.13.2

弱点分類 (CWE)

CWE-20 CWE-345 CWE-1289

タイムライン

予約済み2026-03-23
公開日2026-03-27
更新日2026-03-30
EPSS 更新日2026-04-03

緩和策と回避策

この脆弱性の解決策は、OpenFGAをバージョン1.13.1以降にアップグレードすることです。このバージョンには、条件付きでキャッシュキーの重複生成を防ぐ修正が含まれています。すぐにアップグレードできない場合は、認証モデルでキャッシュを無効にすることを検討してください。ただし、これによりパフォーマンスが影響を受ける可能性があります。条件評価に依存する認証モデルを特定し、これらのモデルでキャッシュを無効にするかアップグレードすることを優先することが重要です。アップグレード後、認証システムを監視して、脆弱性が修正され、システムが期待どおりに動作することを確認してください。

修正方法

OpenFGAをバージョン1.13.1以降にアップグレードしてください。このバージョンには、誤ったキャッシュキーによる認証バイパスの問題に対する修正が含まれています。アップグレードにより、以前のキャッシュ結果が異なるリクエストに対して再利用されるのを防ぎます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-33729 とは何ですか？（OpenFGA）