CVE-2026-33286 in graphitiinformazioni

Riassunto

di VulDB • 15/06/2026

Graphiti è un framework che si appoggia ai modelli e li espone tramite un'interfaccia conforme a JSON:API. Le versioni precedenti alla 1.10.2 presentano una vulnerabilità di esecuzione arbitraria di metodi che interessa la funzionalità di scrittura (write) della JSON API di Graphiti. Un attaccante può creare un payload JSONAPI malevolo con nomi di relazione arbitrari per invocare qualsiasi metodo pubblico sull'istanza del modello sottostante, sulla classe o sulle sue associazioni. Qualsiasi applicazione che esponga endpoint di scrittura di Graphiti (create/update/delete) a utenti non attendibili è interessata dal problema. Il metodo `Graphiti::Util::ValidationResponse#all_valid?` chiama ricorsivamente `model.send(name)` utilizzando i nomi delle relazioni presi direttamente dai payload JSONAPI forniti dall'utente, senza convalidarli rispetto ai sideload configurati per la risorsa. Ciò consente a un attaccante di potenzialmente eseguire qualsiasi metodo pubblico su una determinata istanza del modello, sulla classe dell'istanza o sulle classi/istanze associate, incluse operazioni distruttive. La vulnerabilità è risolta in Graphiti v1.10.2. Gli utenti dovrebbero effettuare l'aggiornamento il prima possibile. Sono disponibili alcune contromisure (workaround). Assicurarsi che gli endpoint di scrittura di Graphiti (create/update) non siano accessibili a utenti non attendibili e/o applicare controlli rigorosi di autenticazione e autorizzazione prima che venga elaborata qualsiasi operazione di scrittura, ad esempio utilizzando i strong parameters di Rails per garantire che vengano elaborati solo parametri validi.

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

GitHub M

Prenotare

18/03/2026

Divulgazione

24/03/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00632

KEV

no

Attività

molto basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!