PT-2026-60951 · Surrealdb · Surrealdb
CVSS v4.0
5.8
Média
| Vetor | AV:N/AC:L/AT:P/PR:L/UI:N/VC:N/VI:L/VA:L/SC:H/SI:H/SA:H |
Nome do Software Vulnerável e Versões Afetadas
SurrealDB versões anteriores a 2.2.6
SurrealDB versões anteriores a 2.3.6
SurrealDB versões anteriores a 2.1.8
SurrealDB versões anteriores a 3.0.0-alpha.8
Description
Um usuário autenticado pode ignorar as restrições de acesso à rede nas funções
http::*. O software falha ao validar nomes de host resolvidos via DNS em relação à restrição --deny-net. Ao invocar http::<fn>(<url>) com um nome de host que resolve para um endereço IP negado, o servidor emite a requisição e retorna a resposta. Isso permite o acesso a endpoints internos restritos, podendo levar à recuperação ou alteração de informações e credenciais sensíveis.Recommendations
Atualize o SurrealDB para a versão 2.2.6 ou posterior.
Atualize o SurrealDB para a versão 2.3.6 ou posterior.
Atualize o SurrealDB para a versão 2.1.8 ou posterior.
Atualize o SurrealDB para a versão 3.0.0-alpha.8 ou posterior.
Correção
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Surrealdb