| タイトル | OpenFGAにおける情報漏えいに関する脆弱性 |
|---|---|
| 概要 | OpenFGAは開発者向けに構築された認可/権限エンジンです。バージョン0.1.4から1.13.1までの間、OpenFGAがビルトインのplaygroundを有効にし、かつプリシェアードキー認証を使用するように設定されている場合、ローカルサーバーは/playgroundエンドポイントのHTMLレスポンス内にプリシェアードAPIキーを含みます。/playgroundエンドポイントはデフォルトで有効であり、認証を必要としません。これはローカル開発およびデバッグを目的としたものであり、本番環境に公開される設計にはなっていません。OpenFGAを`--authn-method`でプリシェアード認証を指定し、playgroundを有効化し、かつ/playgroundエンドポイントがlocalhostや信頼されたネットワークを超えてアクセス可能な状態で実行すると脆弱性が発生します。この問題を解決するには、ユーザーがOpenFGAをv1.14.0にアップグレードするか、`./openfga run --playground-enabled=false`を実行してplaygroundを無効化してください。 |
| 想定される影響 | 当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年4月17日0:00 |
| 登録日 | 2026年4月30日12:28 |
| 最終更新日 | 2026年4月30日12:28 |
| CVSS3.0 : 警告 | |
| スコア | 6.5 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N |
| OpenFGA |
| OpenFGA 0.1.4 以上 1.14.0 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年04月30日] 掲載 |
2026年4月30日12:28 |
| 概要 | OpenFGA is an authorization/permission engine built for developers. In versions 0.1.4 through 1.13.1, when OpenFGA is configured to use preshared-key authentication with the built-in playground enabled, the local server includes the preshared API key in the HTML response of the /playground endpoint. The /playground endpoint is enabled by default and does not require authentication. It is intended for local development and debugging and is not designed to be exposed to production environments. Only those who run OpenFGA with `--authn-method` preshared, with the playground enabled, and with the playground endpoint accessible beyond localhost or trusted networks are vulnerable. To remediate the issue, users should upgrade to OpenFGA v1.14.0, or disable the playground by running `./openfga run --playground-enabled=false.` |
|---|---|
| 公表日 | 2026年4月18日6:16 |
| 登録日 | 2026年4月19日4:08 |
| 最終更新日 | 2026年4月21日4:03 |