CVE-2026-54698 in graphql-engine
要約
〜によって VulDB • 2026年07月07日
Hasuraは、ユーザーにGraphQLまたはREST APIを提供するオープンソース製品です。バージョン2.49.2および2.45.5より前では、ユーザーがwhere句を使用してテーブルの計算フィールド(SETOF some_tableを返す)を利用し、some_tableの行レベル権限に基づいてロールごとにフィルタリングされるべき行値を推測することが可能でした。これらの行は直接戻されませんが、例えば文字列に対する述語のように、where句をオラクルとして効率的にブルートフォースすることで値を取得することができます。この問題はバージョン2.49.2および2.45.5で修正されています。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.