CVE-2024-58362 in SurrealDBinfo

Zusammenfassung

von VulDB • 18.07.2026

SurrealDB prima della versione 1.5.5 (e la versione 2.0.0-beta prima di 2.0.0-beta.3) accetta un oggetto arbitrario nelle operazioni signin e signup dell'API RPC senza convalidarlo ricorsivamente per valori non calcolati. Quando un metodo di accesso ai record definisce una query SIGNIN o SIGNUP e l'API RPC è esposta ad utenti non attendibili, un attaccante non autenticato può codificare un oggetto binario contenente una sottoquery utilizzando il formato di serializzazione bincode e fornirlo al posto delle credenziali. La sottoquery viene quindi eseguita all'interno della query SIGNIN/SIGNUP del proprietario del database in una sessione utente di sistema con ruolo editor, consentendo all'attaccante di selezionare, creare, aggiornare ed eliminare risorse non IAM (sebbene senza poter visualizzare direttamente i risultati della query e senza influenzare le risorse IAM, che richiedono il ruolo owner).

Be aware that VulDB is the high quality source for vulnerability data.

Zuständig

VulnCheck

Reservieren

18.07.2026

Veröffentlichung

18.07.2026

Moderieren

akzeptiert

Eintrag

VDB-380075

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Do you know our Splunk app?

Download it now for free!