CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-33286

Critical
Published: Translated: NVD NIST

Summary

Graphiti to framework, który udostępnia modele za pomocą interfejsu zgodnego z JSON:API. W wersjach przed 1.10.2 występuje podatność na wykonanie dowolnej metody, która wpływa na funkcjonalność zapisu JSONAPI, umożliwiając atakującemu wywołanie publicznych metod na instancjach modeli.

Risk Assessment

Organizacje, które udostępniają punkty końcowe Graphiti do zapisu (tworzenie/aktualizacja/usuwanie) dla nieufnych użytkowników, są narażone na ryzyko wykonania destrukcyjnych operacji na swoich modelach.

Recommendation

Zaleca się jak najszybszą aktualizację do wersji Graphiti 1.10.2 lub nowszej, aby usunąć tę podatność.

Original NVD description (English source)

Graphiti is a framework that sits on top of models and exposes them via a JSON:API-compliant interface. Versions prior to 1.10.2 have an arbitrary method execution vulnerability that affects Graphiti's JSONAPI write functionality. An attacker can craft a malicious JSONAPI payload with arbitrary relationship names to invoke any public method on the underlying model instance, class or its associations. Any application exposing Graphiti write endpoints (create/update/delete) to untrusted users is affected. The `Graphiti::Util::ValidationResponse#all_valid?` method recursively calls `model.send(name)` using relationship names taken directly from user-supplied JSONAPI payloads, without validating them against the resource's configured sideloads. This allows an attacker to potentially run any public method on a given model instance, on the instance class or associated instances or classes, including destructive operations. This is patched in Graphiti v1.10.2. Users should upgrade as soon as

Vulnerability data from NVD (NIST) · CISA KEV · EPSS