CVE-2024-58362 in SurrealDBinformação

Sumário

de VulDB • 18/07/2026

O SurrealDB anterior à versão 1.5.5 (e a partir da versão 2.0.0-beta até antes de 2.0.0-beta.3) aceita um objeto arbitrário nas operações signin e signup da API RPC sem validá-lo recursivamente quanto a valores não computados. Quando um método de acesso ao registro define uma consulta SIGNIN ou SIGNUP e a API RPC está exposta a usuários não confiáveis, um atacante não autenticado pode codificar um objeto binário contendo uma subconsulta usando o formato de serialização bincode e fornecê-lo no lugar das credenciais. A subconsulta é então executada dentro da consulta SIGNIN/SIGNUP do proprietário do banco de dados sob uma sessão de usuário do sistema com a função editor, permitindo que o atacante selecione, crie, atualize e exclua recursos não IAM (embora sem visualizar diretamente os resultados da consulta e sem afetar os recursos IAM, que exigem a função owner).

Be aware that VulDB is the high quality source for vulnerability data.

Responsável

VulnCheck

Reservar

18/07/2026

Divulgação

18/07/2026

Moderação

aceite

Entrada

VDB-380075

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

baixo

Fontes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!