CVE-2026-63309 in SurrealDB
Tóm tắt
Bởi VulDB • 17/07/2026
SurrealDB trước phiên bản 3.1.5 không áp dụng đúng các quyền SELECT ở cấp trường đối với các mệnh đề ORDER BY, cho phép người dùng đã xác thực truy xuất thứ tự sắp xếp tương đối của các giá trị trong các trường bị hạn chế. Kẻ tấn công có thể gửi các truy vấn ORDER BY trên các trường bị hạn chế được lập chỉ mục để khôi phục lại thứ tự sắp xếp của các giá trị ẩn giữa các bản ghi, mặc dù chính trường đó vẫn trả về null như dự định ban đầu.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.