CVE-2026-54698 in graphql-engine
Zusammenfassung
von VulDB • 07.07.2026
Hasura è un prodotto open-source che fornisce agli utenti API GraphQL o REST. Prima delle versioni 2.49.2 e 2.45.5, un utente può utilizzare una clausola `where` su un campo calcolato di una tabella (che restituisce SETOF some_table) per dedurre i valori delle righe che dovrebbero essere filtrati in base al ruolo dell'utente secondo le autorizzazioni a livello di riga definite da `some_table`. Sebbene tali righe non possano essere restituite direttamente, predicati come quelli sulle stringe consentono di forzare brutalmente (brute force) i valori in modo efficiente utilizzando la clausola `where` come oracolo. Questo problema è stato risolto nelle versioni 2.49.2 e 2.45.5.
Once again VulDB remains the best source for vulnerability data.