OpenFGAのHelm Charts等の複数製品における複数の脆弱性
| Title |
OpenFGAのHelm Charts等の複数製品における複数の脆弱性
|
| Summary |
OpenFGAは開発者向けに構築された認可および権限エンジンです。バージョン1.14.1以前では、特定のシナリオにおいて条件付きキャッシュが有効なモデルで、異なる2つのチェック要求が同じキャッシュキーを生成する可能性がありました。これにより、OpenFGAは以前のキャッシュされた結果を後続の要求に再利用してしまう恐れがありました。脆弱性の前提条件は、条件評価に依存するリレーションを持つモデルでユーザーがキャッシュを有効にしていることです。OpenFGA v1.14.1には、この問題が修正されています。
|
| Possible impacts |
当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアの一部が停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
April 22, 2026, midnight |
| Registration Date |
April 27, 2026, 10:47 a.m. |
| Last Update |
April 27, 2026, 10:47 a.m. |
|
CVSS3.0 : 警告
|
| Score |
5
|
| Vector |
CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:L |
Affected System
| OpenFGA |
|
Helm Charts 0.3.1 未満
|
|
OpenFGA 1.14.1 未満
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年04月27日]
掲載 |
April 27, 2026, 10:47 a.m. |
NVD Vulnerability Information
CVE-2026-41131
| Summary |
OpenFGA is an authorization/permission engine built for developers. Prior to version 1.14.1, in specific scenarios, models using conditions with caching enabled can result in two different check requests producing the same cache key. This could result in OpenFGA reusing an earlier cached result for a subsequent request. The preconditions for vulnerability are the model having relations which rely on condition evaluation and the user having caching enabled. OpenFGA v1.14.1 contains a fix.
|
| Publication Date |
April 22, 2026, 9:16 a.m. |
| Registration Date |
April 25, 2026, 4:04 a.m. |
| Last Update |
April 24, 2026, 10:44 p.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:openfga:helm_charts:*:*:*:*:*:openfga:*:* |
|
|
|
0.3.1 |
| cpe:2.3:a:openfga:openfga:*:*:*:*:*:*:*:* |
|
|
|
1.14.1 |
Related information, measures and tools
Common Vulnerabilities List