Версии Neo4j Enterprise и Community до 2026.01.3 и 5.26.21 уязвимы к потенциальному раскрытию информации пользователем, имеющим доступ к локальным файлам журналов. Параметр «obfuscate_literals» в журналах запросов не удаляет информацию об ошибках, предоставляя неотредактированные данные в журнале запросов, когда клиент пишет запрос, который завершается неудачно. Это может позволить пользователю с законным доступом к локальным файлам журналов получать информацию, доступ к которой ему не разрешен. Если этот пользователь также может выполнять запросы и вызывать ошибки, эта уязвимость потенциально может помочь ему получить информацию, которую он не имеет права видеть, посредством предполагаемого доступа к базе данных. Мы рекомендуем обновиться до версии 2026.01.3 (или 5.26.21), в которой проблема устранена, и проверить разрешения для файлов журнала запросов, чтобы обеспечить ограниченный доступ. Если в вашей конфигурации включен db.logs.query.obfuscate_literals и вы хотите, чтобы обфускация также охватывала сообщения об ошибках, вам необходимо включить новый параметр конфигурации db.logs.query.obfuscate_errors после обновления Neo4j.
Показать оригинальное описание (английский)
Neo4j Enterprise and Community editions versions prior to 2026.01.3 and 5.26.21 are vulnerable to a potential information disclosure by a user who has ability to access the local log files. The "obfuscate_literals" option in the query logs does not redact error information, exposing unredacted data in the query log when a customer writes a query that fails. It can allow a user with legitimate access to the local log files to obtain information they are not authorised to see. If this user is also in a position to run queries and trigger errors, this vulnerability can potentially help them to infer information they are not authorised to see through their intended database access. We recommend upgrading to versions 2026.01.3 (or 5.26.21) where the issue is fixed, and reviewing query log files permissions to ensure restricted access. If your configuration had db.logs.query.obfuscate_literals enabled, and you wish the obfuscation to cover the error messages as well, you need to enable the new configuration setting db.logs.query.obfuscate_errors once you have upgraded Neo4j.
Матрица атаки
СТРОКА CVSS ВЕКТОРА
CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:N/R:U/V:D/RE:M/U:X