漏洞概述
Hasura GraphQL Engine 1.3.3 版本中存在一个远程代码执行(RCE)漏洞。攻击者可通过构造恶意的 GraphQL 查询,利用 PostgreSQL 的 COPY FROM PROGRAM 功能,在目标系统上执行任意 shell 命令,从而完全控制受影响的服务。
漏洞详情
- CVE 编号:CVE-2021-47748
- 漏洞类型:CWE-78(操作系统命令注入)
- CVSS 评分:CVSS v3.1 评分为 9.8(CRITICAL);CVSS v4.0 评分为 9.3(CRITICAL)
- 影响版本:Hasura GraphQL Engine 1.3.3
影响范围
该漏洞影响使用 Hasura GraphQL Engine 1.3.3 版本且启用了 run_sql 端点的部署环境。若该端点对外暴露或未进行适当访问控制,攻击者可无需身份验证直接利用此漏洞。
风险分析
由于漏洞允许未经身份验证的远程攻击者通过网络执行任意系统命令,可能导致服务器被完全接管、数据泄露、服务中断或作为跳板进一步渗透内网。该漏洞利用条件简单、无需用户交互,属于高危远程代码执行漏洞。
修复建议
- 立即升级至 Hasura GraphQL Engine 官方发布的安全版本(建议升级至 1.3.4 或更高版本)。
- 如无法立即升级,应限制对
/v1/query和run_sql等敏感端点的访问,仅允许可信 IP 访问,并禁用不必要的数据库功能(如 PostgreSQL 的COPY FROM PROGRAM)。
