CRITICAL🇬🇧 English

CVE-2021-47748

RCE w Hasura GraphQL Engine przez COPY FROM PROGRAM

CVSS 9.3v4.0pub. 2026-01-21upd. 2026-02-02

Hasura GraphQL Engine 1.3.3 zawiera krytyczną podatność RCE (Remote Code Execution), umożliwiającą nieuwierzytelnionemu atakującemu wykonanie dowolnych poleceń systemowych. Podatność jest szczególnie groźna, ponieważ nie wymaga żadnego uwierzytelnienia ani interakcji użytkownika.

Pokaż oryginał (EN)

Hasura GraphQL 1.3.3 contains a remote code execution vulnerability that allows attackers to execute arbitrary shell commands through SQL query manipulation. Attackers can inject commands into the run_sql endpoint by crafting malicious GraphQL queries that execute system commands through PostgreSQL's COPY FROM PROGRAM functionality.

🤖 Analiza AI
Jak działa

Atakujący wysyła spreparowane zapytanie GraphQL do endpointu run_sql, wstrzykując złośliwe polecenia systemowe (command injection). Mechanizm ataku wykorzystuje funkcjonalność PostgreSQL o nazwie COPY FROM PROGRAM, która pozwala na wykonywanie poleceń powłoki systemowej bezpośrednio z poziomu zapytania SQL. Poprzez odpowiednią manipulację zapytaniem SQL przekazywanym do tego endpointu, atakujący może osiągnąć pełne wykonanie kodu na serwerze docelowym.

Skutki

Atakujący może wykonać dowolne polecenia systemowe na serwerze hostującym Hasura GraphQL Engine, co prowadzi do pełnego przejęcia kontroli nad systemem, wycieku danych oraz potencjalnego lateral movement w sieci wewnętrznej.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się ograniczenie dostępu do endpointu run_sql wyłącznie do zaufanych, uwierzytelnionych użytkowników oraz zastosowanie odpowiednich reguł firewall blokujących nieautoryzowany dostęp do interfejsu GraphQL.

Kogo dotyczy

Hasura GraphQL Engine w wersji 1.3.3

Uwagi

Dla tej podatności dostępny jest publiczny exploit opublikowany w bazie Exploit-DB (exploit nr 49802), co istotnie obniża próg wejścia dla potencjalnych atakujących. Mimo braku wpisu w CISA KEV, obecność publicznego exploit code wymaga pilnej reakcji.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Hasura Graphql Engine

    APP
    Hasura
    1.3.3
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCESQLiCommand Injection
CWE
Referencje

Powiązane podatności

CVE-2021-47713HIGH8.7ten sam produkt

Hasura GraphQL 1.3.3 contains a denial of service vulnerability that allows attackers to overwhelm the service...

CVE-2023-27588HIGH7.5ten sam produkt

Hasura is an open-source product that provides users GraphQL or REST APIs. A path traversal vulnerability has ...

CVE-2022-46792HIGH8.8ten sam produkt

Hasura GraphQL Engine before 2.15.2 mishandles row-level authorization in the Update Many API for Postgres bac...

CVE-2019-1020015HIGH7.5ten sam produkt

graphql-engine (aka Hasura GraphQL Engine) before 1.0.0-beta.3 mishandles the audience check while verifying J...

CVE-2021-47714MEDIUM6.9ten sam produkt

Hasura GraphQL 1.3.3 contains a local file read vulnerability that allows attackers to access system files thr...

CVE-2021-47748 — RCE w Hasura GraphQL Engine przez COPY FROM PROGRAM — CRITICAL 9.3 | CVEbaza.pl