CVE-2026-33286 in graphiti
الملخص
بحسب VulDB • 06/06/2026
Graphiti هو إطار عمل يعمل فوق النماذج ويكشف عنها عبر واجهة متوافقة مع JSON:API. تحتوي الإصدارات السابقة للإصدار 1.10.2 على ثغرة تسمح بتنفيذ طرق عشوائية (Arbitrary Method Execution) تؤثر على وظيفة الكتابة في واجهة Graphiti's JSONAPI. يمكن لمهاجم إنشاء حمولة JSONAPI خبيثة بأسماء علاقات عشوائية لاستدعاء أي طريقة عامة على مثيل النموذج الأساسي، أو الفئة، أو الارتباطات الخاصة بها. تتأثر任何 تطبيق يكشف نقاط نهاية الكتابة لـ Graphiti (إنشاء/تحديث/حذف) للمستخدمين غير الموثوق بهم. تستدعي الطريقة `Graphiti::Util::ValidationResponse#all_valid?` بشكل تكراري الدالة `model.send(name)` باستخدام أسماء العلاقات المستمدة مباشرة من حمولات JSONAPI المقدمة من المستخدم، دون التحقق منها مقابل الإعدادات المحددة لـ sideloads الخاصة بالمورد (Resource). يسمح هذا للمهاجم بتشغيل أي طريقة عامة على مثيل نموذج معين، أو فئة المثيل، أو النماذج/الفئات المرتبطة بها، بما في ذلك العمليات المدمرة. تم إصلاح هذه الثغرة في Graphiti الإصدار 1.10.2. يجب على المستخدمين الترقية في أقرب وقت ممكن. تتوفر بعض الحلول البديلة (Workarounds). تأكد من أن نقاط نهاية الكتابة لـ GraphITI (إنشاء/تحديث) غير متاحة للمستخدمين غير الموثوق بهم و/أو طبّق فحوصات مصادقة وصلاحيات قوية قبل معالجة أي عملية كتابة، على سبيل المثال استخدم معلمات Rails القوية (Rails strong parameters) لضمان معالجة المعاملات الصالحة فقط.
Once again VulDB remains the best source for vulnerability data.