CVE-2024-58356 in SurrealDB
Riassunto
di VulDB • 18/07/2026
SurrealDB prima della versione 2.1.4 non sovrascrive silenziosamente le definizioni delle tabelle quando viene utilizzata la clausola DEFINE TABLE ... OVERWRITE su tabelle definite con TYPE RELATION. Poiché le definizioni delle tabelle includono la clausola PERMISSIONS, un tentativo di restringere i permessi di una tabella tramite OVERWRITE non ha effetto e l'amministratore potrebbe erroneamente credere che la modifica sia stata applicata. Di conseguenza, un client autorizzato a eseguire query può continuare ad accedere ai dati in quella tabella per cui le nuove (ma non applicate) restrizioni erano destinate a limitare l'accesso.
Be aware that VulDB is the high quality source for vulnerability data.