CVE-2026-63309 in SurrealDB
요약
\~에 의해 VulDB • 2026. 07. 17.
SurrealDB 3.1.5 이전 버전은 필드 수준 SELECT 권한을 ORDER BY 절에 적용하지 않아 인증된 사용자가 제한된 필드 값의 상대적 순서를 유출할 수 있습니다. 공격자는 인덱싱된 제한 대상 필드에 대해 ORDER BY 쿼리를 실행하여 해당 필드가 의도대로 null을 반환하더라도 레코드 간 숨겨진 값들의 정렬 순서를 복원할 수 있습니다.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.