CVE-2026-63309 in SurrealDB情報

要約

〜によって VulDB • 2026年07月17日

SurrealDB 3.1.5 より前のバージョンでは、ORDER BY 句に対してフィールドレベルの SELECT アクセス権限が適用されないため、認証済みユーザーは制限されたフィールド値の相対的な順序情報を漏洩させることができます。攻撃者はインデックス付きの制限対象フィールドに対して ORDER BY クエリを発行することで、フィールド自体は意図通り null を返すにもかかわらず、レコード間で隠蔽されている値のソート順を復元することが可能です。

Be aware that VulDB is the high quality source for vulnerability data.

責任者

VulnCheck

予約する

2026年07月16日

モデレーション

承諾済み

エントリ

VDB-379869

EPSS

0.00000

アクティビティ

低い

ソース

Interested in the pricing of exploits?

See the underground prices here!