プラットフォーム
go
コンポーネント
github.com/openfga/openfga
修正版
1.8.1
1.14.0
OpenFGA における脆弱性 CVE-2026-34972 は、BatchCheck 呼び出しにおいて、同じオブジェクト、リレーション、ユーザーの組み合わせに対して異なるコンテキストを持つ複数のチェックが送信された場合に、ポリシーの適用が不適切になる可能性があります。この脆弱性は、ポリシーのバイパスを許容し、潜在的なセキュリティリスクをもたらします。影響を受けるバージョンは、OpenFGA の特定のバージョンです。現在、v1.14.0 へのアップグレードで修正されています。
OpenFGA の CVE-2026-34972 は、コンテキストを使用する BatchCheck 操作に影響を与えます。具体的には、単一の BatchCheck 操作内で同じユーザー/オブジェクト/リレーションシップの組み合わせに対して複数のチェックが送信され、各チェックが異なるコンテキストを含む場合、ポリシーの不適切な適用が発生する可能性があります。これにより、攻撃者が意図されたアクセス制限を回避し、通常は保護されているリソースにアクセスできるようになる可能性があります。この脆弱性の重大度は CVSS 5.0 と評価されており、中程度のリスクを示しています。脆弱性は、システムが各チェックでコンテキストを正しく評価しない場合に発生し、その結果、誤ったアクセス決定につながります。
この脆弱性の悪用には、OpenFGA のポリシー構造に関する深い理解と、慎重に設計された BatchCheck リクエストを作成する能力が必要です。攻撃者は、コンテキストの不適切な適用がアクセス回避につながる可能性のあるユーザー/オブジェクト/リレーションシップの組み合わせを特定する必要があります。悪用の難易度は、OpenFGA ポリシーの複雑さと、攻撃者が BatchCheck リクエストを操作する能力によって異なります。コンテキストは重要な役割を果たします。チェック間のコンテキストの変動が脆弱性を引き起こします。BatchCheck プロセッシングにおける適切なコンテキスト検証の欠如が、この回避を可能にします。
Organizations heavily reliant on OpenFGA for access control and utilizing BatchCheck operations with context are most at risk. This includes applications with complex authorization rules and those that dynamically adjust user permissions based on contextual factors. Specifically, deployments using OpenFGA to manage access to sensitive data or critical infrastructure are particularly vulnerable.
• go / application: Examine OpenFGA logs for unusual BatchCheck requests with multiple checks for the same user/object/relation combination and differing contexts. • go / application: Monitor OpenFGA's internal metrics for anomalies in policy evaluation times or unexpected access grants. • generic web: If OpenFGA is exposed via an API, monitor API requests for patterns indicative of BatchCheck exploitation (multiple similar requests). • generic web: Review OpenFGA configuration files for any unusual settings related to context handling in BatchCheck operations.
disclosure
エクスプロイト状況
EPSS
0.04% (11% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性の解決策は、OpenFGA バージョン 1.14.0 以降にアップグレードすることです。このバージョンには、コンテキスト付きの BatchCheck 操作における不適切なポリシー適用問題を修正する修正が含まれています。その間、一時的な軽減策として、同じユーザー/オブジェクト/リレーションシップの組み合わせに対して複数のチェックを BatchCheck で使用することを避け、特に異なるコンテキストを使用する場合は避けてください。BatchCheck の使用が必要な場合は、同じ操作内のすべてのチェックが同じコンテキストを持つようにしてください。OpenFGA ログを監視して異常なアクセスパターンを検出することも、潜在的な悪用を検出するのに役立ちます。
Actualice a la versión 1.14.0 o superior para mitigar la vulnerabilidad. Esta actualización corrige un problema de deduplicación en BatchCheck que podría resultar en decisiones de autorización incorrectas debido a colisiones en la clave de caché.
脆弱性分析と重要アラートをメールでお届けします。
BatchCheck は、OpenFGA 内の操作であり、複数の権限を一度に確認できるため、個別のチェックと比較して効率が向上します。
コンテキストは、アクセスポリシーの評価に影響を与える可能性のある追加情報を提供します。これにより、ポリシー定義におけるより詳細な柔軟性が可能になります。
コマンドラインで openfga version コマンドを実行することで、OpenFGA のバージョンを確認できます。
一時的な軽減策として、異なるコンテキストを使用している場合、特に同じユーザー/オブジェクト/リレーションシップの組み合わせに対して複数のチェックを BatchCheck で使用することを避けてください。
OpenFGA は、安全なポリシーの設計を支援するためのドキュメントと例を提供しています。潜在的な脆弱性を特定するために、ペネトレーションテストを検討してください。
go.mod ファイルをアップロードすると、影響の有無を即座にお知らせします。