CVE-2026-33286 in graphiti
Riassunto
di VulDB • 15/06/2026
Graphiti è un framework che si appoggia ai modelli e li espone tramite un'interfaccia conforme a JSON:API. Le versioni precedenti alla 1.10.2 presentano una vulnerabilità di esecuzione arbitraria di metodi che interessa la funzionalità di scrittura (write) della JSON API di Graphiti. Un attaccante può creare un payload JSONAPI malevolo con nomi di relazione arbitrari per invocare qualsiasi metodo pubblico sull'istanza del modello sottostante, sulla classe o sulle sue associazioni. Qualsiasi applicazione che esponga endpoint di scrittura di Graphiti (create/update/delete) a utenti non attendibili è interessata dal problema. Il metodo `Graphiti::Util::ValidationResponse#all_valid?` chiama ricorsivamente `model.send(name)` utilizzando i nomi delle relazioni presi direttamente dai payload JSONAPI forniti dall'utente, senza convalidarli rispetto ai sideload configurati per la risorsa. Ciò consente a un attaccante di potenzialmente eseguire qualsiasi metodo pubblico su una determinata istanza del modello, sulla classe dell'istanza o sulle classi/istanze associate, incluse operazioni distruttive. La vulnerabilità è risolta in Graphiti v1.10.2. Gli utenti dovrebbero effettuare l'aggiornamento il prima possibile. Sono disponibili alcune contromisure (workaround). Assicurarsi che gli endpoint di scrittura di Graphiti (create/update) non siano accessibili a utenti non attendibili e/o applicare controlli rigorosi di autenticazione e autorizzazione prima che venga elaborata qualsiasi operazione di scrittura, ad esempio utilizzando i strong parameters di Rails per garantire che vengano elaborati solo parametri validi.
Be aware that VulDB is the high quality source for vulnerability data.