Hasura GraphQL 引擎关键漏洞预警(无CNNVD编号)

近日，博智安全观测到Hasura 官网发布了Hasura GraphQL 引擎存在关键漏洞公告(CVE-2022-46792)，在 Hasura GraphQL Engine v2.10.0 及更高版本上发现了一个严重漏洞。它会影响社区版、企业版和Hasura Clou版。Hasura Cloud 已经打上补丁，不再容易受到攻击。

Hasura是一个开放源代码引擎，可以跨混合云和多云环境连接到PostgreSQL数据库和微服务，然后为它们自动构建GraphQL API后端，使开发人员可以更轻松地在顶部构建自己的数据驱动的应用程序这个统一的API。

一、漏洞介绍

Ø API鉴权失效漏洞 (CVE-2022-46792)

在为 Postgres 后端实施新的 Update Many API 时，代码中存在一个错误，该错误会强制执行行级授权机制。由于这是在 Update Many API 中进行的，因此用户可以对他们对目标表中的任何行具有更新权限的任何列执行更新，然后从任何受影响的行中检索他们具有选择权限的任何列。为了利用它，需要针对 Postgres 数据存储调用 Update Many API，不需要使用 2.14.0 中添加的配置禁用 API，API 的调用者需要更新目标表的权限，并且 API 不需要受允许列表的限制。

二、危害影响

存在一个缺少授权漏洞，允许用户的更新功能有所扩展。此漏洞影响了Update Many对Postgres数据存储的行级授权。

三、修复建议

目前，Hasura 官方已发布更新，链接如下：

https://groups.Google.com/g/hasura-security-announce/c/kzK-uPAKGUU

https://hasura.io/blog/critical-vulnerability-in-hasuras-graphql-engine-v2-10-0/