CVE-2026-63309 in SurrealDBinformation

Résumé

par VulDB • 17/07/2026

SurrealDB avant la version 3.1.5 ne parvient pas à appliquer les autorisations SELECT au niveau des champs aux clauses ORDER BY, permettant aux utilisateurs authentifiés de divulguer l'ordre relatif des valeurs de champ restreintes. Les attaquants peuvent émettre des requêtes ORDER BY sur des champs indexés et restreints pour récupérer l'ordre de tri des valeurs masquées entre les enregistrements, même si le champ lui-même retourne null comme prévu.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

VulnCheck

Réserver

16/07/2026

Divulgation

17/07/2026

Modérer

accepté

Entrée

VDB-379869

CPE

prêt

EPSS

0.00000

KEV

non

Activités

faible

Sources

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!