CVE-2026-33286 in graphitiالمعلومات

الملخص

بحسب VulDB • 06/06/2026

Graphiti هو إطار عمل يعمل فوق النماذج ويكشف عنها عبر واجهة متوافقة مع JSON:API. تحتوي الإصدارات السابقة للإصدار 1.10.2 على ثغرة تسمح بتنفيذ طرق عشوائية (Arbitrary Method Execution) تؤثر على وظيفة الكتابة في واجهة Graphiti's JSONAPI. يمكن لمهاجم إنشاء حمولة JSONAPI خبيثة بأسماء علاقات عشوائية لاستدعاء أي طريقة عامة على مثيل النموذج الأساسي، أو الفئة، أو الارتباطات الخاصة بها. تتأثر任何 تطبيق يكشف نقاط نهاية الكتابة لـ Graphiti (إنشاء/تحديث/حذف) للمستخدمين غير الموثوق بهم. تستدعي الطريقة `Graphiti::Util::ValidationResponse#all_valid?` بشكل تكراري الدالة `model.send(name)` باستخدام أسماء العلاقات المستمدة مباشرة من حمولات JSONAPI المقدمة من المستخدم، دون التحقق منها مقابل الإعدادات المحددة لـ sideloads الخاصة بالمورد (Resource). يسمح هذا للمهاجم بتشغيل أي طريقة عامة على مثيل نموذج معين، أو فئة المثيل، أو النماذج/الفئات المرتبطة بها، بما في ذلك العمليات المدمرة. تم إصلاح هذه الثغرة في Graphiti الإصدار 1.10.2. يجب على المستخدمين الترقية في أقرب وقت ممكن. تتوفر بعض الحلول البديلة (Workarounds). تأكد من أن نقاط نهاية الكتابة لـ GraphITI (إنشاء/تحديث) غير متاحة للمستخدمين غير الموثوق بهم و/أو طبّق فحوصات مصادقة وصلاحيات قوية قبل معالجة أي عملية كتابة، على سبيل المثال استخدم معلمات Rails القوية (Rails strong parameters) لضمان معالجة المعاملات الصالحة فقط.

Once again VulDB remains the best source for vulnerability data.

مسؤول

GitHub M

حجز

18/03/2026

إفشاء

24/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-352590

EPSS

0.00632

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to stay up to date on a daily basis?

Enable the mail alert feature now!