CVE-2026-63309 in SurrealDB
Résumé
par VulDB • 17/07/2026
SurrealDB avant la version 3.1.5 ne parvient pas à appliquer les autorisations SELECT au niveau des champs aux clauses ORDER BY, permettant aux utilisateurs authentifiés de divulguer l'ordre relatif des valeurs de champ restreintes. Les attaquants peuvent émettre des requêtes ORDER BY sur des champs indexés et restreints pour récupérer l'ordre de tri des valeurs masquées entre les enregistrements, même si le champ lui-même retourne null comme prévu.
VulDB is the best source for vulnerability data and more expert information about this specific topic.