CVE-2021-47748
KrytyczneStreszczenie
Hasura GraphQL w wersji 1.3.3 zawiera podatność na zdalne wykonanie kodu, która pozwala atakującym na wykonywanie dowolnych poleceń powłoki poprzez manipulację zapytaniami SQL. Atakujący mogą wstrzykiwać polecenia do punktu końcowego run_sql, tworząc złośliwe zapytania GraphQL, które wykonują polecenia systemowe za pomocą funkcjonalności COPY FROM PROGRAM w PostgreSQL.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym zdalne wykonywanie kodu, co może prowadzić do przejęcia kontroli nad systemem. W konsekwencji może to skutkować utratą danych, naruszeniem poufności oraz dostępem do wrażliwych informacji.
Rekomendacja
Zaleca się aktualizację Hasura GraphQL do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto monitorować i ograniczać dostęp do punktu końcowego run_sql oraz stosować odpowiednie zabezpieczenia w aplikacjach korzystających z GraphQL.
Oryginalny opis (angielski, źródło NVD)
Hasura GraphQL 1.3.3 contains a remote code execution vulnerability that allows attackers to execute arbitrary shell commands through SQL query manipulation. Attackers can inject commands into the run_sql endpoint by crafting malicious GraphQL queries that execute system commands through PostgreSQL's COPY FROM PROGRAM functionality.

