目標達成 すべての支援者に感謝 — 100%達成しました!

目標: 1000 CNY · 調達済み: 1336 CNY

100%

CVE-2024-58356— SurrealDB 2.1.4 前表权限绕过漏洞

AI Predicted 6.5 Difficulty: Easy

Possible ATT&CK Techniques 1AI

T1530 · Data from Cloud Storage

Affected Version Matrix 4

ベンダープロダクトVersion Rangeステータス
surrealdbsurrealdb< 2.1.4affected
2.1.4unaffected
< 2.1.4affected
2.1.4unaffected
新しい脆弱性情報の通知を購読するログインして購読

I. CVE-2024-58356の基本情報

脆弱性情報

脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗

高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。

脆弱性タイトル
SurrealDB before 2.1.4 Permission Bypass via DEFINE TABLE OVERWRITE
ソース: NVD (National Vulnerability Database)
脆弱性説明
SurrealDB before 2.1.4 silently fails to overwrite table definitions when the DEFINE TABLE ... OVERWRITE clause is used on tables defined with TYPE RELATION. Because table definitions include the PERMISSIONS clause, an attempt to tighten a table's permissions via OVERWRITE does not take effect, and the administrator may incorrectly believe the change was applied. As a result, a client authorized to run queries may continue to access data in that table that the updated (but unapplied) permissions were intended to restrict.
ソース: NVD (National Vulnerability Database)
CVSS情報
N/A
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
缺省权限不正确
ソース: NVD (National Vulnerability Database)

影響を受ける製品

ベンダープロダクト影響を受けるバージョンCPE購読
surrealdbsurrealdb 0 ~ 2.1.4 -
surrealdbsurrealdb 0 ~ 2.1.4 -

II. CVE-2024-58356の公開POC

#POC説明ソースリンクShenlongリンク
AI生成POCプレミアム

公開POCは見つかりませんでした。

ログインしてAI POCを生成

III. CVE-2024-58356のインテリジェンス情報

登录查看更多情报信息。

CVE-2024-58356 厂商安全公告 (1)

CVE-2024-58356 其他参考 (1)

Same Patch Batch · surrealdb · 2026-07-18 · 24 CVEs total

CVE-2024-583628.8 HIGHSurrealDB before 1.5.5 Query Injection via RPC API
CVE-2023-543668.8 HIGHSurrealDB before 1.0.1 Insecure Default Table Permissions
CVE-2024-583668.5 HIGHSurrealDB before 1.1.1 Format String via Scripting Functions
CVE-2024-583687.5 HIGHSurrealDB before 1.1.0 Denial of Service via HTTP Headers
CVE-2024-583646.5 MEDIUMSurrealDB before 1.2.1 Denial of Service via Parsing Error
CVE-2024-583596.5 MEDIUMSurrealDB before 2.1.0 Denial of Service via rand() Sorting
CVE-2024-583576.5 MEDIUMSurrealDB before 2.1.0 Denial of Service via rand::time()
CVE-2024-583706.5 MEDIUMSurrealDB before 1.1.0 Uncontrolled Recursion Denial of Service
CVE-2024-583616.5 MEDIUMSurrealDB before 2.0.4 Denial of Service via Parser Exception
CVE-2024-583656.5 MEDIUMSurrealDB before 1.2.0 Denial of Service via Nonexistent Function
CVE-2024-583696.5 MEDIUMSurrealDB before 1.1.1 Denial of Service via Global Parameters
CVE-2024-583636.3 MEDIUMSurrealDB before 1.5.4 Authentication Bypass via Database Switch
CVE-2024-583584.9 MEDIUMSurrealDB before 2.1.0 Denial of Service via Nonexistent Role
CVE-2025-71395SurrealDB before 2.2.2 Memory Exhaustion via string::replace
CVE-2025-71396SurrealDB before 2.2.2 Denial of Service via JavaScript Scripting
CVE-2025-71393SurrealDB before 2.2.2 Memory Exhaustion via Nested Functions
CVE-2025-71397SurrealDB before 2.2.2 CPU Exhaustion via nested FOR loops
CVE-2025-71391SurrealDB before 2.2.2 Denial of Service via /sql endpoint
CVE-2025-71394SurrealDB before 2.2.2 Local File Read via DEFINE ANALYZER
CVE-2025-71390SurrealDB before 2.3.6 deny-net Bypass via DNS Resolution

Showing 20 of 24 CVEs. View all on vendor page →

IV. 関連脆弱性

V. CVE-2024-58356へのコメント

まだコメントはありません


コメントを残す