Surrealdb · Surrealdb · CVE-2024-58362
**Nome do Software Vulnerável e Versões Afetadas**
SurrealDB versões anteriores a 1.5.5
SurrealDB versões 2.0.0-beta até 2.0.0-beta.2
**Description**
A API RPC aceita objetos arbitrários nas operações de signin e signup sem validá-los recursivamente para valores não computados. Quando um método de acesso a registro define uma consulta SIGNIN ou SIGNUP e a API RPC está exposta a usuários não confiáveis, um invasor não autenticado pode usar o formato de serialização bincode para fornecer um objeto binário contendo uma subconsulta em vez de credenciais. Essa subconsulta é executada dentro da consulta do proprietário do banco de dados sob uma sessão de usuário do sistema com a função de editor, permitindo que o invasor selecione, crie, atualize e exclua recursos que não sejam de IAM. O invasor não pode visualizar os resultados da consulta diretamente nem afetar recursos de IAM (Identity and Access Management), pois estes exigem a função de proprietário.
**Recommendations**
Atualize o SurrealDB para a versão 1.5.5.
Atualize o SurrealDB para a versão 2.0.0-beta.3.