anonhaven

CVE-2026-1471

LOW CVSS 4.0: 2,1 EPSS 0.05%
Обновлено 11 марта 2026
Excessive
Параметр Значение
CVSS 2,1 (LOW)
Уязвимые версии до 2026.01.4
Тип уязвимости CWE-863 (Неправильная авторизация)
Поставщик Excessive
Публичный эксплойт Нет

Чрезмерное кэширование контекста аутентификации в версиях Neo4j Enterprise Edition до 2026.01.4 приводит к тому, что прошедшие проверку подлинности пользователи наследуют контекст первого пользователя, который прошел проверку подлинности после перезапуска. Проблема ограничена некоторыми конфигурациями единого входа (конечная точка UserInfo), отличными от стандартных.  Мы рекомендуем выполнить обновление до версии 2026.01.4 (или 5.26.22), в которой проблема устранена.

Показать оригинальное описание (EN)

Excessive caching of authentication context in Neo4j Enterprise edition versions prior to 2026.01.4 leads to authenticated users inheriting the context of the first user who authenticated after restart. The issue is limited to certain non-default configurations of SSO (UserInfo endpoint).  We recommend upgrading to versions 2026.01.4 (or 5.26.22) where the issue is fixed.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Требуются
Нужны дополнительные условия
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Пассивное
Минимальное взаимодействие

Последствия

Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Низкое
Частичное нарушение работы

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-863 Incorrect Authorization (Неправильная авторизация)

Ссылки 1

https://neo4j.com/security/CVE-2026-1471
3b236295-4ccd-4a1f-a1c1-a72eecc8d7b6
Share Post Share Share Share