Vulnerabilidad en Enterprise Edition de neo4j (CVE-2026-1524)
Gravedad CVSS v4.0:
BAJA
Tipo:
CWE-287
Autenticación incorrecta
Fecha de publicación:
11/03/2026
Última modificación:
12/03/2026
Descripción
Un caso límite en la implementación de SSO en versiones de Neo4j Enterprise edition anteriores a la versión 2026.02 puede llevar a un acceso no autorizado bajo las siguientes condiciones:<br />
<br />
Si un administrador de Neo4j configura dos o más proveedores OIDC Y configura uno o más de ellos como proveedor de autorización Y configura uno o más de ellos para ser solo de autenticación, entonces aquellos que son solo de autenticación también proporcionarán autorización. Este caso límite se convierte en un problema de seguridad solo si el proveedor solo de autenticación contiene grupos que tienen privilegios más altos que los proporcionados por el proveedor de autorización previsto (configurado).<br />
<br />
Al usar múltiples plugins para autenticación y autorización, antes de la corrección, el problema podría llevar a que un plugin configurado para proporcionar solo capacidades de autenticación o autorización proporcionara erróneamente ambas capacidades.<br />
<br />
Recomendamos actualizar a las versiones 2026.02 (o 5.26.22) donde el problema está corregido.