Vulnerabilidad en Hasura GraphQL Engine (CVE-2022-46792)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
08/12/2022
Última modificación:
23/04/2025
Descripción
Hasura GraphQL Engine anterior a 2.15.2 maneja mal la autorización a nivel de fila en Update Many API para backends de Postgres. Las versiones corregidas son 2.10.2, 2.11.3, 2.12.1, 2.13.2, 2.14.1 y 2.15.2. (Las versiones anteriores a la 2.10.0 no se ven afectadas).
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:hasura:graphql_engine:*:*:*:*:*:*:*:* | 2.10.0 (incluyendo) | 2.10.2 (excluyendo) |
| cpe:2.3:a:hasura:graphql_engine:*:*:*:*:*:*:*:* | 2.11.0 (incluyendo) | 2.11.3 (excluyendo) |
| cpe:2.3:a:hasura:graphql_engine:*:*:*:*:*:*:*:* | 2.13.0 (incluyendo) | 2.13.2 (excluyendo) |
| cpe:2.3:a:hasura:graphql_engine:*:*:*:*:*:*:*:* | 2.15.0 (incluyendo) | 2.15.2 (excluyendo) |
| cpe:2.3:a:hasura:graphql_engine:2.12.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:hasura:graphql_engine:2.12.0:beta1:*:*:*:*:*:* | ||
| cpe:2.3:a:hasura:graphql_engine:2.14.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:hasura:graphql_engine:2.14.0:beta1:*:*:*:*:*:* | ||
| cpe:2.3:a:hasura:graphql_engine:2.14.0:beta2:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/hasura/graphql-engine/security/advisories/GHSA-g7mj-g7f4-hgrg
- https://groups.google.com/g/hasura-security-announce/c/kzK-uPAKGUU
- https://hasura.io/blog/critical-vulnerability-in-hasuras-graphql-engine-v2-10-0/
- https://github.com/hasura/graphql-engine/security/advisories/GHSA-g7mj-g7f4-hgrg
- https://groups.google.com/g/hasura-security-announce/c/kzK-uPAKGUU
- https://hasura.io/blog/critical-vulnerability-in-hasuras-graphql-engine-v2-10-0/