PT-2026-60951 · Surrealdb · Surrealdb

·

CVE-2025-71390

·

Publicado

2026-07-18

·

Atualizado

2026-07-18

CVSS v4.0

5.8

Média

VetorAV:N/AC:L/AT:P/PR:L/UI:N/VC:N/VI:L/VA:L/SC:H/SI:H/SA:H
Nome do Software Vulnerável e Versões Afetadas SurrealDB versões anteriores a 2.2.6 SurrealDB versões anteriores a 2.3.6 SurrealDB versões anteriores a 2.1.8 SurrealDB versões anteriores a 3.0.0-alpha.8
Description Um usuário autenticado pode ignorar as restrições de acesso à rede nas funções http::*. O software falha ao validar nomes de host resolvidos via DNS em relação à restrição --deny-net. Ao invocar http::<fn>(<url>) com um nome de host que resolve para um endereço IP negado, o servidor emite a requisição e retorna a resposta. Isso permite o acesso a endpoints internos restritos, podendo levar à recuperação ou alteração de informações e credenciais sensíveis.
Recommendations Atualize o SurrealDB para a versão 2.2.6 ou posterior. Atualize o SurrealDB para a versão 2.3.6 ou posterior. Atualize o SurrealDB para a versão 2.1.8 ou posterior. Atualize o SurrealDB para a versão 3.0.0-alpha.8 ou posterior.

Correção

Incorrect Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2025-71390

Produtos afetados

Surrealdb