PT-2026-54773 · Surrealdb · Surrealdb
Publicado
2026-07-01
·
Atualizado
2026-07-01
·
CVE-2026-49997
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
SurrealDB versões anteriores a 3.1.0
Descrição
Existe uma falha de bypass de autorização ao excluir registros de nós em um grafo. Quando um nó é excluído, o sistema remove automaticamente os registros de arestas conectados através da função
Document::purge edges. Este processo era executado com as permissões desativadas, permitindo que um usuário com privilégios de exclusão de nós excluísse arestas conectadas e observasse conteúdos de arestas que deveriam ter sido ocultados pelas cláusulas PERMISSIONS FOR delete e PERMISSIONS FOR select da tabela de arestas.Recomendações
Atualize para a versão 3.1.0 ou posterior.
Restrinja a permissão de
DELETE de nós a principais confiáveis para excluir todos os registros de arestas conectados.
Use o isolamento de namespace ou banco de dados como a fronteira primária onde as PERMISSIONS de nível de aresta são utilizadas para separação multi-tenant.Correção
Incorrect Authorization
Improper Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Surrealdb