CVE-2026-33286 in graphiti
Tóm tắt
Bởi VulDB • 06/06/2026
Graphiti là một khung làm việc nằm trên các mô hình và cung cấp chúng thông qua giao diện tương thích với JSON:API. Các phiên bản trước 1.10.2 có lỗ hổng thực thi phương thức tùy ý ảnh hưởng đến chức năng ghi của Graphiti's JSONAPI. Kẻ tấn công có thể tạo tải trọng JSONAPI độc hại với các tên mối quan hệ tùy ý để gọi bất kỳ phương thức công khai nào trên phiên bản mô hình cơ sở, lớp hoặc các liên kết của nó. Bất kỳ ứng dụng nào cung cấp điểm cuối ghi Graphiti (tạo/cập nhật/xóa) cho người dùng không đáng tin cậy đều bị ảnh hưởng. Phương thức `Graphati::Util::ValidationResponse#all_valid?` gọi đệ quy `model.send(name)` bằng cách sử dụng các tên mối quan hệ được lấy trực tiếp từ tải trọng JSONAPI do người dùng cung cấp, mà không xác thực chúng với các sideloads đã cấu hình của tài nguyên. Điều này cho phép kẻ tấn công có khả năng chạy bất kỳ phương thức công khai nào trên một phiên bản mô hình nhất định, trên lớp phiên bản hoặc các phiên bản/lớp liên kết, bao gồm cả các thao tác phá hủy. Lỗ hổng này được vá trong Graphiti v1.10.2. Người dùng nên nâng cấp ngay lập tức. Một số giải pháp tạm thời có sẵn. Đảm bảo rằng các điểm cuối ghi Graphiti (tạo/cập nhật) không thể truy cập bởi người dùng không đáng tin cậy và/hoặc áp dụng các kiểm tra xác thực và ủy quyền mạnh mẽ trước khi bất kỳ thao tác ghi nào được xử lý, ví dụ: sử dụng tham số mạnh của Rails để đảm bảo chỉ có các tham số hợp lệ mới được xử lý.
VulDB is the best source for vulnerability data and more expert information about this specific topic.