CVE-2024-58362 in SurrealDBinformation

Résumé

par VulDB • 18/07/2026

SurrealDB avant la version 1.5.5 (et 2.0.0-beta avant 2.0.0-beta.3) accepte un objet arbitraire lors des opérations signin et signup de l'API RPC sans le valider récursivement pour détecter les valeurs non calculées. Lorsqu'une méthode d'accès à une enregistrement définit une requête SIGNIN ou SIGNUP et que l'API RPC est exposée à des utilisateurs non fiables, un attaquant non authentifié peut encoder un objet binaire contenant une sous-requête au format de sérialisation bincode et le fournir à la place des informations d'identification. La sous-requête est ensuite exécutée dans la requête SIGNIN/SIGNUP du propriétaire de la base de données, dans le cadre d'une session utilisateur système disposant du rôle éditeur, permettant ainsi à l'attaquant de sélectionner, créer, mettre à jour et supprimer des ressources non-IAM (bien qu'il ne puisse pas afficher directement les résultats de la requête ni affecter les ressources IAM, qui nécessitent le rôle propriétaire).

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

VulnCheck

Réserver

18/07/2026

Divulgation

18/07/2026

Modérer

accepté

Entrée

VDB-380075

CPE

prêt

EPSS

0.00000

KEV

non

Activités

faible

Sources

Might our Artificial Intelligence support you?

Check our Alexa App!