CVE-2026-33286 in graphitiinformação

Sumário

de VulDB • 14/05/2026

Graphiti é um framework que se sobrepõe a modelos e os expõe por meio de uma interface compatível com JSON:API. As versões anteriores à 1.10.2 possuem uma vulnerabilidade de execução arbitrária de métodos que afeta a funcionalidade de gravação do JSONAPI do Graphiti. Um atacante pode criar uma carga útil JSONAPI maliciosa com nomes de relacionamento arbitrários para invocar qualquer método público na instância do modelo subjacente, na classe ou em suas associações. Qualquer aplicativo que exponha endpoints de gravação do Graphiti (create/update/delete) a usuários não confiáveis é afetado. O método `Graphiti::Util::ValidationResponse#all_valid?` chama recursivamente `model.send(name)` usando nomes de relacionamento extraídos diretamente de cargas úteis JSONAPI fornecidas pelo usuário, sem validá-los em relação aos sideloads configurados do recurso. Isso permite que um atacante potencialmente execute qualquer método público em uma determinada instância de modelo, na classe da instância ou em instâncias ou classes associadas, incluindo operações destrutivas. Isso foi corrigido no Graphiti v1.10.2. Os usuários devem atualizar o mais rápido possível. Algumas soluções alternativas estão disponíveis. Certifique-se de que os endpoints de gravação do Graphiti (create/update) não estejam acessíveis a usuários não confiáveis e/ou aplique verificações fortes de autenticação e autorização antes que qualquer operação de gravação seja processada, por exemplo, use strong parameters do Rails para garantir que apenas parâmetros válidos sejam processados.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsável

GitHub M

Reservar

18/03/2026

Divulgação

24/03/2026

Moderação

aceite

Entrada

VDB-352590

CPE

pronto

EPSS

0.00632

KEV

não

Atividades

muito baixo

Fontes

Do you want to use VulDB in your project?

Use the official API to access entries easily!