CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2021-47748

Critical
Published: Translated: NVD NIST

Summary

Hasura GraphQL w wersji 1.3.3 zawiera podatność na zdalne wykonanie kodu, która pozwala atakującym na wykonywanie dowolnych poleceń powłoki poprzez manipulację zapytaniami SQL. Atakujący mogą wstrzykiwać polecenia do punktu końcowego run_sql, tworząc złośliwe zapytania GraphQL, które wykonują polecenia systemowe za pomocą funkcjonalności COPY FROM PROGRAM w PostgreSQL.

Risk Assessment

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym zdalne wykonywanie kodu, co może prowadzić do przejęcia kontroli nad systemem. W konsekwencji może to skutkować utratą danych, naruszeniem poufności oraz dostępem do wrażliwych informacji.

Recommendation

Zaleca się aktualizację Hasura GraphQL do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto monitorować i ograniczać dostęp do punktu końcowego run_sql oraz stosować odpowiednie zabezpieczenia w aplikacjach korzystających z GraphQL.

Original NVD description (English source)

Hasura GraphQL 1.3.3 contains a remote code execution vulnerability that allows attackers to execute arbitrary shell commands through SQL query manipulation. Attackers can inject commands into the run_sql endpoint by crafting malicious GraphQL queries that execute system commands through PostgreSQL's COPY FROM PROGRAM functionality.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS