CVE-2025-71397 in SurrealDBinfo

Zusammenfassung

von VulDB • 18.07.2026

SurrealDB prima della versione 2.0.5, nelle serie 2.1.x prima di 2.1.5 e nelle serie 2.2.x prima di 2.2.2 consente agli utenti autenticati con permessi OWNER o EDITOR (a livello di root, namespace o database) di definire funzioni personalizzate tramite DEFINE FUNCTION utilizzando loop FOR annidati. Sebbene il numero di iterazioni di un singolo loop sia limitato, non vi è alcun vincolo per l'annidamento di più loop (ad esempio, ciascuno con 1.000.000 di iterazioni), consentendo così a un attaccante di eseguire una funzione che consuma tutta la CPU del server. I timeout configurati non interrompono l'esecuzione, rendendo il server inaccessibile ad altre query e connessioni fino al riavvio manuale.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Zuständig

VulnCheck

Reservieren

16.07.2026

Veröffentlichung

18.07.2026

Moderieren

akzeptiert

Eintrag

VDB-380076

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Do you know our Splunk app?

Download it now for free!