PT-2026-60957 · Surrealdb · Surrealdb
CVSS v4.0
2.3
Baixa
| Vetor | AV:N/AC:L/AT:P/PR:L/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
SurrealDB versões anteriores a 2.0.5
SurrealDB versões 2.1.x anteriores a 2.1.5
SurrealDB versões 2.2.x anteriores a 2.2.2
Description
Quando a capacidade de scripting é explicitamente habilitada via
--allow-scripting ou --allow-all, o sistema não impõe um limite de tempo de execução padrão para funções de script JavaScript incorporadas. Um invasor autenticado pode explorar isso enviando funções JavaScript de longa duração para esgotar os recursos do servidor, resultando em uma negação de serviço. O scripting é desabilitado por padrão.Recommendations
Atualize o SurrealDB para a versão 2.0.5 ou posterior.
Atualize o SurrealDB 2.1.x para a versão 2.1.5 ou posterior.
Atualize o SurrealDB 2.2.x para a versão 2.2.2 ou posterior.
Como mitigação temporária, certifique-se de que o scripting esteja desabilitado, não utilizando as flags
--allow-scripting ou --allow-all.Correção
DoS
Allocation of Resources Without Limits
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Surrealdb