Katalog CVE

CVE-2021-47748

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Hasura GraphQL w wersji 1.3.3 zawiera podatność na zdalne wykonanie kodu, która pozwala atakującym na wykonywanie dowolnych poleceń powłoki poprzez manipulację zapytaniami SQL. Atakujący mogą wstrzykiwać polecenia do punktu końcowego run_sql, tworząc złośliwe zapytania GraphQL, które wykonują polecenia systemowe za pomocą funkcjonalności COPY FROM PROGRAM w PostgreSQL.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym zdalne wykonywanie kodu, co może prowadzić do przejęcia kontroli nad systemem. W konsekwencji może to skutkować utratą danych, naruszeniem poufności oraz dostępem do wrażliwych informacji.

Rekomendacja

Zaleca się aktualizację Hasura GraphQL do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto monitorować i ograniczać dostęp do punktu końcowego run_sql oraz stosować odpowiednie zabezpieczenia w aplikacjach korzystających z GraphQL.

Oryginalny opis (angielski, źródło NVD)

Hasura GraphQL 1.3.3 contains a remote code execution vulnerability that allows attackers to execute arbitrary shell commands through SQL query manipulation. Attackers can inject commands into the run_sql endpoint by crafting malicious GraphQL queries that execute system commands through PostgreSQL's COPY FROM PROGRAM functionality.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS