PT-2022-27980 · Hasura · Hasura Graphql Engine
Issaaf Kattan
+1
·
Publicado
2022-12-08
·
Atualizado
2023-08-08
·
CVE-2022-46792
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
As versões do Hasura GraphQL Engine anteriores à 2.10.0 não são afetadas, mas as versões da 2.10.0 à 2.15.1 são afetadas, excluindo as versões corrigidas 2.10.2, 2.11.3, 2.12.1, 2.13.2, 2.14.1 e 2.15.2.
Para simplificar, as versões afetadas são:
Versões do Hasura GraphQL Engine 2.10.0 a 2.10.1, 2.11.0 a 2.11.2, 2.12.0, 2.13.0 a 2.13.1, 2.14.0 e 2.15.0 a 2.15.1.
Descrição
O problema diz respeito ao tratamento incorreto da autorização em nível de linha na API Update Many para backends Postgres.
Recomendações
Para as versões 2.10.0 a 2.10.1, atualize para a versão 2.10.2.
Para as versões 2.11.0 a 2.11.2, atualize para a versão 2.11.3.
Para a versão 2.12.0, atualize para a versão 2.12.1.
Para as versões 2.13.0 a 2.13.1, atualize para a versão 2.13.2.
Para a versão 2.14.0, atualize para a versão 2.14.1.
Para as versões 2.15.0 a 2.15.1, atualize para a versão 2.15.2.
Correção
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Hasura Graphql Engine