Pubblicato il 2026-07-18 · Fonte: NVD NIST
La vulnerabilità CVE-2024-58362 colpisce le versioni di SurrealDB prima della 1.5.5 e 2.0.0-beta.3, permettendo a un attaccante non autenticato di eseguire query non autorizzate attraverso l'API RPC. Ciò avviene perché l'API accetta oggetti arbitrari senza validazione ricorsiva, consentendo l'esecuzione di subquery all'interno delle query di signin e signup. La CVSS Score di 8.8 indica un impatto alto.
Un attaccante può sfruttare questa vulnerabilità per selezionare, creare, aggiornare e cancellare risorse non-IAM all'interno del database, sebbene non possa visualizzare direttamente i risultati della query o influenzare le risorse IAM, che richiedono il ruolo di proprietario. Ciò rappresenta un rischio significativo per la sicurezza dei dati.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di aggiornare SurrealDB alla versione 1.5.5 o successiva, o alla versione 2.0.0-beta.3 o successiva. In assenza di un aggiornamento, è fondamentale limitare l'accesso all'API RPC e implementare controlli di sicurezza aggiuntivi per prevenire l'esecuzione di query non autorizzate.
La vulnerabilità CVE-2024-58362 è una vulnerabilità di sicurezza in SurrealDB che consente a un attaccante non autenticato di eseguire query non autorizzate attraverso l'API RPC.
L'impatto della vulnerabilità è alto, con una CVSS Score di 8.8, e consente a un attaccante di selezionare, creare, aggiornare e cancellare risorse non-IAM all'interno del database.
Per proteggersi da questa vulnerabilità, si consiglia di aggiornare SurrealDB alla versione 1.5.5 o successiva, o alla versione 2.0.0-beta.3 o successiva, e di implementare controlli di sicurezza aggiuntivi per limitare l'accesso all'API RPC.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.