CVE-2024-58362 in SurrealDBthông tin

Tóm tắt

Bởi VulDB • 18/07/2026

SurrealDB trước phiên bản 1.5.5 (và 2.0.0-beta trước 2.0.0-beta.3) chấp nhận một đối tượng tùy ý trong các thao tác signin và signup của RPC API mà không xác minh đệ quy để tìm các giá trị không được tính toán. Khi một phương thức truy cập bản ghi định nghĩa một truy vấn SIGNIN hoặc SIGNUP và RPC API được công khai cho người dùng không đáng tin cậy, kẻ tấn công chưa xác thực có thể mã hóa một đối tượng nhị phân chứa một subquery sử dụng định dạng tuần tự bincode và cung cấp nó thay thế cho thông tin đăng nhập. Subquery sau đó sẽ được thực thi bên trong truy vấn SIGNIN/SIGNUP của chủ sở hữu cơ sở dữ liệu dưới phiên người dùng hệ thống với vai trò editor, cho phép kẻ tấn công chọn (select), tạo mới, cập nhật và xóa các tài nguyên không thuộc IAM (mặc dù không thể xem trực tiếp kết quả truy vấn và không ảnh hưởng đến các tài nguyên IAM, vốn yêu cầu vai trò owner).

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

chịu trách nhiệm

VulnCheck

Đặt trước

18/07/2026

Tiết lộ

18/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00000

KEV

không

Các hoạt động

thấp

Nguồn

Might our Artificial Intelligence support you?

Check our Alexa App!