Katalog CVE

CVE-2026-57954

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.17%

Percentyl 6 — wyżej niż 6% wszystkich znanych CVE

Streszczenie

Podatność w bibliotece Elide do wersji 7.1.17 nie wymusza @ReadPermission na wyrażeniach sortowania dostarczanych przez klienta w metodzie SortingImpl.getValidSortingRules, co pozwala atakującym sortować kolekcje po zabronionych polach. Atakujący mogą wywnioskować ukryte wartości pól poprzez analizę kolejności wierszy, ujawniając względne uporządkowanie pól we wszystkich wierszach zarówno przez JSON:API, jak i GraphQL.

Ocena ryzyka

Organizacja narażona jest na wyciek poufnych danych, ponieważ atakujący może odczytać względne wartości pól, które powinny być ukryte, co może prowadzić do naruszenia prywatności lub eskalacji uprawnień.

Rekomendacja

Należy natychmiast zaktualizować bibliotekę Elide do wersji 7.1.18 lub nowszej, która zawiera poprawkę wymuszającą @ReadPermission na wyrażeniach sortowania.

Oryginalny opis (angielski, źródło NVD)

Elide through 7.1.17 fails to enforce @ReadPermission on client-supplied sort expressions in SortingImpl.getValidSortingRules, allowing attackers to sort collections by forbidden fields. Attackers can infer hidden field values through row ordering analysis, leaking relative field ordering across all rows via both JSON:API and GraphQL read paths.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS