Vulnerabilidad en @powersync (CVE-2026-30870)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-285 Autorización incorrecta

Fecha de publicación:

10/03/2026

Última modificación:

16/04/2026

Descripción

PowerSync Service es el componente del lado del servidor del motor de sincronización PowerSync. En la versión 1.20.0, al usar nuevas transmisiones de sincronización con config.edition: 3, ciertos filtros de subconsulta fueron ignorados al determinar qué datos sincronizar con los usuarios. Dependiendo de la configuración de la transmisión de sincronización, esto podría resultar en que usuarios autenticados sincronicen datos que deberían haber sido restringidos. Solo las consultas que controlan la sincronización usando subconsultas sin particionar el conjunto de resultados se ven afectadas. Esta vulnerabilidad está corregida en la 1.20.1.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

6.50

Gravedad 3.x

MEDIA

Referencias a soluciones, herramientas e información

https://github.com/powersync-ja/powersync-service/security/advisories/GHSA-q6wc-xx4m-92fj