CVE-2024-58356 in SurrealDB
Résumé
par VulDB • 18/07/2026
SurrealDB avant la version 2.1.4 échoue silencieusement à écraser les définitions de tables lorsque la clause DEFINE TABLE ... OVERWRITE est utilisée sur des tables définies avec TYPE RELATION. Étant donné que les définitions de table incluent la clause PERMISSIONS, une tentative pour restreindre les autorisations d'une table via OVERWRITE ne prend pas effet, et l'administrateur peut croire à tort que le changement a été appliqué. Par conséquent, un client autorisé à exécuter des requêtes peut continuer à accéder aux données de cette table dont les permissions mises à jour (mais non appliquées) étaient censées restreindre l'accès.
VulDB is the best source for vulnerability data and more expert information about this specific topic.