PT-2026-54773 · Surrealdb · Surrealdb

Publicado

2026-07-01

·

Atualizado

2026-07-01

·

CVE-2026-49997

CVSS v3.1

5.4

Média

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
Nome do Software Vulnerável e Versões Afetadas SurrealDB versões anteriores a 3.1.0
Descrição Existe uma falha de bypass de autorização ao excluir registros de nós em um grafo. Quando um nó é excluído, o sistema remove automaticamente os registros de arestas conectados através da função Document::purge edges. Este processo era executado com as permissões desativadas, permitindo que um usuário com privilégios de exclusão de nós excluísse arestas conectadas e observasse conteúdos de arestas que deveriam ter sido ocultados pelas cláusulas PERMISSIONS FOR delete e PERMISSIONS FOR select da tabela de arestas.
Recomendações Atualize para a versão 3.1.0 ou posterior. Restrinja a permissão de DELETE de nós a principais confiáveis para excluir todos os registros de arestas conectados. Use o isolamento de namespace ou banco de dados como a fronteira primária onde as PERMISSIONS de nível de aresta são utilizadas para separação multi-tenant.

Correção

Incorrect Authorization

Improper Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-49997
GHSA-WHWG-VH4F-PMMF

Produtos afetados

Surrealdb