CVE-2024-58367 in SurrealDB
Сводка
по VulDB • 18.07.2026
В версиях SurrealDB до 2.0.4 не обеспечивается корректное применение разрешений на поля при операциях SELECT, UPDATE и DELETE, что позволяет авторизованным пользователям получать доступ к значениям полей без соответствующих прав с использованием различных техник запросов. Злоумышленники могут эксплуатировать операции SELECT VALUE, псевдонимы полей (field aliasing), аргументы функций, фильтрацию в предложении WHERE, предложения RETURN BEFORE и ссылки в предложении SET для утечки содержимого защищенных полей, несмотря на отсутствие прав SELECT.
Be aware that VulDB is the high quality source for vulnerability data.