CVE-2026-33286
KrytyczneStreszczenie
Graphiti to framework, który udostępnia modele za pomocą interfejsu zgodnego z JSON:API. W wersjach przed 1.10.2 występuje podatność na wykonanie dowolnej metody, która wpływa na funkcjonalność zapisu JSONAPI, umożliwiając atakującemu wywołanie publicznych metod na instancjach modeli.
Ocena ryzyka
Organizacje, które udostępniają punkty końcowe Graphiti do zapisu (tworzenie/aktualizacja/usuwanie) dla nieufnych użytkowników, są narażone na ryzyko wykonania destrukcyjnych operacji na swoich modelach.
Rekomendacja
Zaleca się jak najszybszą aktualizację do wersji Graphiti 1.10.2 lub nowszej, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
Graphiti is a framework that sits on top of models and exposes them via a JSON:API-compliant interface. Versions prior to 1.10.2 have an arbitrary method execution vulnerability that affects Graphiti's JSONAPI write functionality. An attacker can craft a malicious JSONAPI payload with arbitrary relationship names to invoke any public method on the underlying model instance, class or its associations. Any application exposing Graphiti write endpoints (create/update/delete) to untrusted users is affected. The `Graphiti::Util::ValidationResponse#all_valid?` method recursively calls `model.send(name)` using relationship names taken directly from user-supplied JSONAPI payloads, without validating them against the resource's configured sideloads. This allows an attacker to potentially run any public method on a given model instance, on the instance class or associated instances or classes, including destructive operations. This is patched in Graphiti v1.10.2. Users should upgrade as soon as

