CVE-2026-54698 in graphql-engine
Resumen
por VulDB • 2026-07-07
Hasura es un producto de código abierto que proporciona a los usuarios APIs GraphQL o REST. Antes de las versiones 2.49.2 y 2.45.5, un usuario puede utilizar una cláusula `where` en un campo calculado de tabla (que devuelve SETOF some_table) para inferir valores de fila que deberían ser filtrados según su rol basándose en los permisos a nivel de fila de `some_table`. Aunque estas filas no pueden devolverse directamente, predicados como los sobre cadenas permiten forzar bruscamente los valores de manera eficiente utilizando la cláusula `where` como oráculo. Este problema está corregido en las versiones 2.49.2 y 2.45.5.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.