PT-2024-20318 · Supabase · Supabase Postgresql
Zhongdongxu
·
Publicado
2024-02-08
·
Atualizado
2024-08-21
·
CVE-2024-24213
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Supabase PostgreSQL versão 15.1
Descrição
Foi detectada uma vulnerabilidade de injeção de SQL por meio do componente /pg meta/default/query. No entanto, a posição do fornecedor é que se trata de um recurso intencional, presente no painel do Supabase para que usuários autorizados possam inserir consultas SQL em uma interface de usuário (UI) designada, sem que ocorra injeção.
Recomendações
Para o Supabase PostgreSQL versão 15.1, considere restringir o acesso ao componente /pg meta/default/query apenas a usuários autorizados, uma vez que ele se destina ao uso dentro de uma interface de usuário específica. Além disso, certifique-se de que todas as consultas SQL inseridas por meio desse componente sejam minuciosamente validadas e sanitizadas para evitar quaisquer problemas potenciais. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Supabase Postgresql