CVE-2021-47714

Nome do Software Vulnerável e Versões Afetadas Hasura GraphQL versão 1.3.3

Descrição O Hasura GraphQL versão 1.3.3 apresenta uma vulnerabilidade de leitura de arquivo local. Atacantes podem acessar arquivos do sistema através de injeção de SQL no endpoint de consulta. A exploração envolve a função pg read file() do PostgreSQL por meio de consultas SQL manipuladas para ler arquivos arbitrários no servidor. O endpoint vulnerável é '/api/v1/query'. A função vulnerável é pg read file(). O parâmetro vulnerável é a própria consulta SQL.

Recomendações Atualize para uma versão mais recente que contenha uma correção para esta vulnerabilidade. Como medida de contorno temporária, restrinja o acesso ao endpoint de consulta '/api/v1/query' para minimizar o risco de exploração.