PT-2025-52691 · Hasura · Hasura Graphql
Dolev Farhi
·
Publicado
2025-12-22
·
Atualizado
2025-12-26
·
CVE-2021-47715
CVSS v4.0
6.9
Média
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:N/SC:L/SI:L/SA:L/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do Software Vulnerável e Versões Afetadas
Hasura GraphQL versão 1.3.3
Descrição
Existe uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF) no Hasura GraphQL. Atacantes podem injetar URLs de esquema remoto arbitrárias através do endpoint
add remote schema. A exploração envolve o envio de solicitações POST manipuladas para o endpoint /v1/query com definições de URL maliciosas, potencialmente permitindo o acesso a recursos de rede internos.Recomendações
Atualize para uma versão mais recente que contenha a correção para esta vulnerabilidade. Como solução temporária, restrinja o acesso ao endpoint
add remote schema.Exploit
Correção
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Hasura Graphql