CVE-2026-57954
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 6 — wyżej niż 6% wszystkich znanych CVE
Streszczenie
Podatność w bibliotece Elide do wersji 7.1.17 nie wymusza @ReadPermission na wyrażeniach sortowania dostarczanych przez klienta w metodzie SortingImpl.getValidSortingRules, co pozwala atakującym sortować kolekcje po zabronionych polach. Atakujący mogą wywnioskować ukryte wartości pól poprzez analizę kolejności wierszy, ujawniając względne uporządkowanie pól we wszystkich wierszach zarówno przez JSON:API, jak i GraphQL.
Ocena ryzyka
Organizacja narażona jest na wyciek poufnych danych, ponieważ atakujący może odczytać względne wartości pól, które powinny być ukryte, co może prowadzić do naruszenia prywatności lub eskalacji uprawnień.
Rekomendacja
Należy natychmiast zaktualizować bibliotekę Elide do wersji 7.1.18 lub nowszej, która zawiera poprawkę wymuszającą @ReadPermission na wyrażeniach sortowania.
Oryginalny opis (angielski, źródło NVD)
Elide through 7.1.17 fails to enforce @ReadPermission on client-supplied sort expressions in SortingImpl.getValidSortingRules, allowing attackers to sort collections by forbidden fields. Attackers can infer hidden field values through row ordering analysis, leaking relative field ordering across all rows via both JSON:API and GraphQL read paths.

