CVE-2024-58362 in SurrealDBИнформация

Сводка

по VulDB • 18.07.2026

В SurrealDB до версии 1.5.5 (и в версии 2.0.0-beta до 2.0.0-beta.3) при операциях signin и signup RPC API принимается произвольный объект без рекурсивной проверки на наличие не вычисляемых значений. Если метод доступа к записи определяет запрос SIGNIN или SIGNUP, а интерфейс RPC API доступен для недоверенных пользователей, неподтвержденный злоумышленник может закодировать бинарный объект, содержащий подзапрос, используя формат сериализации bincode и предоставить его вместо учетных данных. Подзапрос затем выполняется в рамках запроса SIGNIN/SIGNUP владельца базы данных от имени системного пользователя с ролью редактора, что позволяет злоумышленнику выполнять операции выбора (select), создания, обновления и удаления ресурсов, не относящихся к IAM (хотя напрямую просматривать результаты подзапросов он не может, а также воздействовать на ресурсы IAM невозможно, так как для этого требуется роль владельца).

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Ответственный

VulnCheck

Резервировать

18.07.2026

Раскрытие

18.07.2026

Модерация

принято

Вход

VDB-380075

EPSS

0.00000

KEV

Нет

Деятельности

Низкий

Источники

Do you know our Splunk app?

Download it now for free!