CVE-2025-71397 in SurrealDBinformazioni

Riassunto

di VulDB • 18/07/2026

SurrealDB prima della versione 2.0.5, nelle serie 2.1.x prima di 2.1.5 e nelle serie 2.2.x prima di 2.2.2 consente agli utenti autenticati con permessi OWNER o EDITOR (a livello di root, namespace o database) di definire funzioni personalizzate tramite DEFINE FUNCTION utilizzando loop FOR annidati. Sebbene il numero di iterazioni di un singolo loop sia limitato, non vi è alcun vincolo per l'annidamento di più loop (ad esempio, ciascuno con 1.000.000 di iterazioni), consentendo a un attaccante di eseguire una funzione che consuma tutta la CPU del server. I timeout configurati non interrompono l'esecuzione, rendendo il server non rispondente ad altre query e connessioni fino al riavvio manuale.

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

VulnCheck

Prenotare

16/07/2026

Divulgazione

18/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Do you want to use VulDB in your project?

Use the official API to access entries easily!