关键信息 漏洞概述 漏洞编号: CVE-2025-11060, GHSA-7vm2-j586-vccv 标题: SurrealDB is Vulnerable to Unauthorized Data Exposure via LIVE Query Subscriptions 报告时间: 2025-09-11 23:03 UTC 修改时间: 2025-09-26 11:53 UTC 影响范围 产品: Security Response 组件: vulnerability 硬件: All 操作系统: Linux 优先级: medium 严重性: medium 描述 问题: 语句用于实时捕获表中数据的变化。在 条件和 通知中包含的文档没有正确减少以尊重查询用户的上下文安全。这导致泄露的文档反映了触发通知的用户上下文。 影响: 允许具有运行实时查询订阅权限的记录或访客用户观察同一表中的未经授权记录,当另一个用户正在更改或删除这些记录时,绕过访问控制。 影响 描述: 记录或访客用户能够观察未经授权的记录,当其他用户创建、更新或删除匹配 条件的记录时。这影响了机密性,仅限于攻击者有权访问的表,并且数据披露取决于其他用户采取的操作。 补丁 版本: - 版本 2.1.9、2.2.8 和 2.3.8 及更高版本不受此问题影响。 - v3.0.0-alpha.7 之后的第一个发布版本将被修补。 解决方案 评估受影响用户的权限: 对表记录具有权限的用户实际上对表具有完全读取访问权限,如果需要,使用单独的表,对功能有影响。