Home Ripetizioni Consulenza Cybersecurity 📖 Libro Contattami
HomeCybersecurity › CVE-2024-58362
CVSS 8.8 — ALTO

Vulnerabilità SurrealDB CVE-2024-58362

Pubblicato il 2026-07-18 · Fonte: NVD NIST

CVE ID
CVE-2024-58362
CVSS Score
8.8
Vendor
N/A
Prodotti
N/A
Exploit pubblico
Non noto
Sfruttata (CISA)
No
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Riassunto tecnico

La vulnerabilità CVE-2024-58362 colpisce le versioni di SurrealDB prima della 1.5.5 e 2.0.0-beta.3, permettendo a un attaccante non autenticato di eseguire query non autorizzate attraverso l'API RPC. Ciò avviene perché l'API accetta oggetti arbitrari senza validazione ricorsiva, consentendo l'esecuzione di subquery all'interno delle query di signin e signup. La CVSS Score di 8.8 indica un impatto alto.

Impatto

Un attaccante può sfruttare questa vulnerabilità per selezionare, creare, aggiornare e cancellare risorse non-IAM all'interno del database, sebbene non possa visualizzare direttamente i risultati della query o influenzare le risorse IAM, che richiedono il ruolo di proprietario. Ciò rappresenta un rischio significativo per la sicurezza dei dati.

Sistemi vulnerabili

Vendor: N/A
Prodotti: N/A

Mitigazioni

Per mitigare questa vulnerabilità, si consiglia di aggiornare SurrealDB alla versione 1.5.5 o successiva, o alla versione 2.0.0-beta.3 o successiva. In assenza di un aggiornamento, è fondamentale limitare l'accesso all'API RPC e implementare controlli di sicurezza aggiuntivi per prevenire l'esecuzione di query non autorizzate.

FAQ — Domande frequenti

Cosa è la vulnerabilità CVE-2024-58362?

La vulnerabilità CVE-2024-58362 è una vulnerabilità di sicurezza in SurrealDB che consente a un attaccante non autenticato di eseguire query non autorizzate attraverso l'API RPC.

Qual è l'impatto della vulnerabilità?

L'impatto della vulnerabilità è alto, con una CVSS Score di 8.8, e consente a un attaccante di selezionare, creare, aggiornare e cancellare risorse non-IAM all'interno del database.

Come proteggersi da CVE-2024-58362?

Per proteggersi da questa vulnerabilità, si consiglia di aggiornare SurrealDB alla versione 1.5.5 o successiva, o alla versione 2.0.0-beta.3 o successiva, e di implementare controlli di sicurezza aggiuntivi per limitare l'accesso all'API RPC.

Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.