CVE-2026-33286 in graphiti
Sumário
de VulDB • 14/05/2026
Graphiti é um framework que se sobrepõe a modelos e os expõe por meio de uma interface compatível com JSON:API. As versões anteriores à 1.10.2 possuem uma vulnerabilidade de execução arbitrária de métodos que afeta a funcionalidade de gravação do JSONAPI do Graphiti. Um atacante pode criar uma carga útil JSONAPI maliciosa com nomes de relacionamento arbitrários para invocar qualquer método público na instância do modelo subjacente, na classe ou em suas associações. Qualquer aplicativo que exponha endpoints de gravação do Graphiti (create/update/delete) a usuários não confiáveis é afetado. O método `Graphiti::Util::ValidationResponse#all_valid?` chama recursivamente `model.send(name)` usando nomes de relacionamento extraídos diretamente de cargas úteis JSONAPI fornecidas pelo usuário, sem validá-los em relação aos sideloads configurados do recurso. Isso permite que um atacante potencialmente execute qualquer método público em uma determinada instância de modelo, na classe da instância ou em instâncias ou classes associadas, incluindo operações destrutivas. Isso foi corrigido no Graphiti v1.10.2. Os usuários devem atualizar o mais rápido possível. Algumas soluções alternativas estão disponíveis. Certifique-se de que os endpoints de gravação do Graphiti (create/update) não estejam acessíveis a usuários não confiáveis e/ou aplique verificações fortes de autenticação e autorização antes que qualquer operação de gravação seja processada, por exemplo, use strong parameters do Rails para garantir que apenas parâmetros válidos sejam processados.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.