製品・ソフトウェアに関する情報

JVN脆弱性詳細

OpenFGAにおける認可処理の不備により認可を回避できる脆弱性

Title	OpenFGAにおける認可処理の不備により認可を回避できる脆弱性
Summary	OpenFGAは開発者向けに設計されており、Google Zanzibarから着想を得て高性能かつ柔軟な認可/権限エンジンとして提供されています。OpenFGA バージョン v1.8.4未満（Helm chartがopenfga-0.2.22未満、dockerがv1.8.4未満）には、特定のCheckおよびListObject呼び出しの実行時に認可バイパスの脆弱性が存在します。以下の条件下でOpenFGA v1.8.4またはそれ以前を使用するユーザーは、この認可バイパスの脆弱性の影響を受けます。1. パブリックアクセスおよび同じタイプのユーザーセットの両方に直接割り当て可能なリレーションを持つモデルでCheck APIまたはListObjectsを呼び出した場合。2. タイプによって制約されたパブリックアクセスのタプルがオブジェクトに割り当てられている場合。3. ユーザーセットのタプルが同じオブジェクトに割り当てられていない場合。4. Checkリクエストのuserフィールドが、タイプで制約されたパブリックアクセスタプルのuser typeと同じタイプであるユーザーセットの場合。ユーザーには、後方互換性のあるv1.8.5へのアップグレードが推奨されています。現時点では本脆弱性への既知の回避策が存在しません。
Possible impacts	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Feb. 19, 2025, midnight
Registration Date	Jan. 6, 2026, 10:54 a.m.
Last Update	Jan. 6, 2026, 10:54 a.m.

CVSS3.0 : 緊急
Score	9.8
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Affected System

OpenFGA

Helm Charts 0.2.22 未満

OpenFGA 1.8.5 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2025-25196	https://www.cve.org/CVERecord?id=CVE-2025-25196
National Vulnerability Database (NVD)
2	CVE-2025-25196	https://nvd.nist.gov/vuln/detail/CVE-2025-25196

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-285	https://cwe.mitre.org/data/definitions/285.html

ベンダー情報

No	Name	URL
GitHub Advisory Database
1	OpenFGA Authorization Bypass Advisory openfga/openfga GitHub	https://github.com/openfga/openfga/security/advisories/GHSA-g4v5-6f5p-m38j

その他

No	Name	URL
関連文書
1	Merge commit from fork openfga/openfga@0aee4f4 GitHub	https://github.com/openfga/openfga/commit/0aee4f47e0c642de78831ceb27bb62b116f49588

Change Log

No	Changed Details	Date of change
1	[2026年01月06日] 掲載	Jan. 6, 2026, 10:54 a.m.

NVD Vulnerability Information

CVE-2025-25196

Summary	OpenFGA is a high-performance and flexible authorization/permission engine built for developers and inspired by Google Zanzibar. OpenFGA < v1.8.4 (Helm chart < openfga-0.2.22, docker < v.1.8.4) are vulnerable to authorization bypass when certain Check and ListObject calls are executed. Users on OpenFGA v1.8.4 or previous, specifically under the following conditions are affected by this authorization bypass vulnerability: 1. Calling Check API or ListObjects with a model that has a relation directly assignable to both public access AND userset with the same type. 2. A type bound public access tuple is assigned to an object. 3. userset tuple is not assigned to the same object. and 4. Check request's user field is a userset that has the same type as the type bound public access tuple's user type. Users are advised to upgrade to v1.8.5 which is backwards compatible. There are no known workarounds for this vulnerability.
Publication Date	Feb. 20, 2025, 6:15 a.m.
Registration Date	Feb. 21, 2025, 4 a.m.
Last Update	Feb. 20, 2025, 6:15 a.m.

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/openfga/openfga/commit/0aee4f47e0c642de78831ceb27bb62b116f49588
2	https://github.com/openfga/openfga/security/advisories/GHSA-g4v5-6f5p-m38j

Common Vulnerabilities List