Surrealdb · Surrealdb · CVE-2025-71390
**Nome do Software Vulnerável e Versões Afetadas**
SurrealDB versões anteriores a 2.2.6
SurrealDB versões anteriores a 2.3.6
SurrealDB versões anteriores a 2.1.8
SurrealDB versões anteriores a 3.0.0-alpha.8
**Description**
Um usuário autenticado pode ignorar as restrições de acesso à rede nas funções `http::*`. O software falha ao validar nomes de host resolvidos via DNS em relação à restrição `--deny-net`. Ao invocar `http::<fn>(<url>)` com um nome de host que resolve para um endereço IP negado, o servidor emite a requisição e retorna a resposta. Isso permite o acesso a endpoints internos restritos, podendo levar à recuperação ou alteração de informações e credenciais sensíveis.
**Recommendations**
Atualize o SurrealDB para a versão 2.2.6 ou posterior.
Atualize o SurrealDB para a versão 2.3.6 ou posterior.
Atualize o SurrealDB para a versão 2.1.8 ou posterior.
Atualize o SurrealDB para a versão 3.0.0-alpha.8 ou posterior.