LOW🇬🇧 English

CVE-2026-1497

CVSS 2.0v4.0pub. 2026-03-11upd. 2026-05-13

Niepoprawne rozwiązywanie przestrzeni nazw w złożonych bazach danych w Neo4j Enterprise edition w wersjach przed 2026.02 i 5.26.22 może prowadzić do następującego scenariusza: admin zamierzający przyznać użytkownikowi dostęp do zdalnej bazy danych "namespace.name" nieumyślnie przyznaje dostęp do dowolnej lokalnej bazy danych lub remote alias o nazwie "name". Jeśli taka baza danych lub alias nie istnieje w momencie wykonania polecenia, uprawnienia zostaną zastosowane, gdy zostanie ona utworzona w przyszłości.

Pokaż oryginał (EN)

Incorrect resolving of namespaces in composite databases in Neo4j Enterprise edition prior to versions 2026.02 and 5.26.22 can lead to the following scenario:  an admin that intends to give a user an access to a remote database constituent "namespace.name" will inadvertently grant access to any local database or remote alias called "name". If such database or alias doesn't exist when the command is run, the privileges will apply if it's created in the future.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:A/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:N/R:U/V:D/RE:M/U:Green
  • Neo4j

    APP
    Neo4J
    < 5.26.222025.01.0 – 2026.02 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2021-34371CRITICAL9.8ten sam produkt

Neo4j through 3.4.18 (with the shell server enabled) exposes an RMI service that arbitrarily deserializes Java...

CVE-2018-18389CRITICAL9.8ten sam produkt

Due to incorrect access control in Neo4j Enterprise Database Server 3.4.x before 3.4.9, the setting of LDAP fo...

CVE-2024-34517MEDIUM6.5ten sam produkt

The Cypher component in Neo4j 5.0.0 through 5.18 mishandles IMMUTABLE privileges in some situations where an a...

CVE-2013-7259MEDIUM6.8ten sam produkt

Multiple cross-site request forgery (CSRF) vulnerabilities in Neo4J 1.9.2 allow remote attackers to hijack the...

CVE-2026-1337LOW1.1ten sam produkt

Niedostateczne maskowanie znaków unicode w dzienniku zapytań w Neo4j Enterprise i Community w wersjach przed 2...

CVE-2026-1497 — LOW 2.0 | CVEbaza.pl