CVE-2024-58362 in SurrealDBinformazioni

Riassunto

di VulDB • 18/07/2026

SurrealDB prima della versione 1.5.5 (e dalla versione 2.0.0-beta alla 2.0.0-beta.3) accetta un oggetto arbitrario nelle operazioni di signin e signup dell'API RPC senza convalidarlo ricorsivamente per valori non calcolati. Quando un metodo di accesso a una record definisce una query SIGNIN o SIGNUP e l'API RPC è esposta ad utenti non attendibili, un attaccante non autenticato può codificare un oggetto binario contenente una subquery utilizzando il formato di serializzazione bincode e fornirlo al posto delle credenziali. La subquery viene quindi eseguita all'interno della query SIGNIN/SIGNUP del proprietario del database sotto la sessione di un utente di sistema con ruolo editor, consentendo all'attaccante di selezionare, creare, aggiornare ed eliminare risorse non IAM (anche se senza poter visualizzare direttamente i risultati della query e senza influenzare le risorse IAM, che richiedono il ruolo owner).

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

VulnCheck

Prenotare

18/07/2026

Divulgazione

18/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!