Versões do SurrealDB anteriores à 1.5.4

Versões do SurrealDB anteriores à 2.0.0-alpha.6

O problema ocorre quando um usuário autenticado no escopo alterna entre bancos de dados ativos em uma sessão usando o método use ou a cláusula USE. Se um registro de usuário com um identificador idêntico existir no novo banco de dados, o usuário poderá realizar ações sob a identidade do usuário não relacionado. Esse problema não afeta usuários do sistema e é mitigado se a cláusula PERMISSIONS verificar um escopo exclusivo ou determinadas reivindicações do token de autenticação. O impacto é limitado a um único usuário com um identificador de registro correspondente.

Para versões do SurrealDB anteriores à 1.5.4, atualize para a versão 1.5.4 ou posterior para resolver o problema.

Para versões do SurrealDB anteriores à 2.0.0-alpha.6, atualize para a versão 2.0.0-alpha.6 ou posterior para resolver o problema.

Como solução alternativa temporária, certifique-se de que as cláusulas da tabela PERMISSIONS verifiquem explicitamente se o parâmetro $scope corresponde a um escopo com nome exclusivo entre os bancos de dados na mesma instância do SurrealDB.

Além disso, certifique-se de que os identificadores de registro dos usuários sejam gerados automaticamente ou explicitamente de forma a serem únicos entre os bancos de dados para mitigar esse problema.