CVE-2024-58362 in SurrealDBالمعلومات

الملخص

بحسب VulDB • 18/07/2026

تقبل SurrealDB قبل الإصدار 1.5.5 (وإصدارات 2.0.0-beta قبل 2.0.0-beta.3) كائنًا تعسفيًا في عمليتي تسجيل الدخول (signin) وتسجيل المستخدم الجديد (signup) الخاصة بواجهة برمجة التطبيقات RPC دون التحقق منه بشكل تكراري بحثًا عن قيم غير محسوبة. عندما يُعرّف أسلوب الوصول إلى السجل استعلام SIGNIN أو SIGNUP، وتكون واجهة برمجة التطبيقات RPC مكشوفة لمستخدمين غير موثوق بهم، يمكن لمهاجم غير مصادق عليه ترميز كائن ثنائي يحتوي على استعلام فرعي باستخدام تنسيق التسلسل bincode وتقديمه بدلاً من بيانات الاعتماد. يتم بعد ذلك تنفيذ الاستعلام الفرعي ضمن استعلام SIGNIN/SIGNUP الخاص بمالك قاعدة البيانات تحت جلسة مستخدم النظام ذات دور المحرر، مما يسمح للمهاجم باختيار وإنشاء وتحديث وحذف موارد غير خاصة بإدارة الهوية والوصول (IAM)، على الرغم من عدم قدرته على عرض نتائج الاستعلام مباشرةً أو التأثير في موارد IAM التي تتطلب دور المالك.

Be aware that VulDB is the high quality source for vulnerability data.

مسؤول

VulnCheck

حجز

18/07/2026

إفشاء

18/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-380075

EPSS

0.00000

KEV

لا

النشاطات

منخفض

المصادر

Want to stay up to date on a daily basis?

Enable the mail alert feature now!