CVE-2026-1524: अनधिकृत पहुंच में Neo4j Enterprise Edition

यह भेद्यता हमलावरों को Neo4j इंस्टेंस तक अनधिकृत पहुंच प्राप्त करने की अनुमति दे सकती है, खासकर यदि OIDC प्रदाताओं को विशिष्ट तरीके से कॉन्फ़िगर किया गया है। हमलावर उच्च विशेषाधिकारों वाले समूहों का उपयोग करके संवेदनशील डेटा तक पहुंच सकते हैं, डेटा को संशोधित कर सकते हैं, या सिस्टम को बाधित कर सकते हैं। यह विशेष रूप से उन संगठनों के लिए गंभीर है जो Neo4j Enterprise Edition का उपयोग करते हैं और SSO के लिए OIDC प्रदाताओं पर निर्भर करते हैं। इस भेद्यता का शोषण करने से डेटा उल्लंघन, सेवा व्यवधान और प्रतिष्ठा को नुकसान हो सकता है।

Organizations utilizing Neo4j Enterprise Edition with SSO enabled and multiple OIDC providers configured are at risk. Specifically, deployments with authentication-only OIDC providers containing groups with elevated privileges are particularly vulnerable. Legacy configurations and environments with limited security oversight are also at increased risk.

1. 2026-03-11Disclosure

   disclosure

1. आरक्षित2026-01-28
2. प्रकाशित2026-03-11
3. संशोधित2026-03-12
4. EPSS अद्यतन2026-03-23

इस भेद्यता को कम करने के लिए, Neo4j Enterprise Edition को संस्करण 2026.02 या बाद के संस्करण में अपग्रेड करना आवश्यक है। यदि अपग्रेड तत्काल संभव नहीं है, तो OIDC प्रदाताओं के कॉन्फ़िगरेशन की समीक्षा करें और सुनिश्चित करें कि केवल इच्छित प्राधिकरण प्रदाताओं को ही प्राधिकरण प्रदान करने के लिए कॉन्फ़िगर किया गया है। अस्थायी रूप से, उन OIDC प्रदाताओं को अक्षम करने पर विचार करें जो केवल प्रमाणीकरण के लिए उपयोग किए जाते हैं और प्राधिकरण प्रदान करते हैं। Neo4j के सुरक्षा दिशानिर्देशों का पालन करना और नियमित सुरक्षा ऑडिट करना भी महत्वपूर्ण है। अपग्रेड के बाद, यह सत्यापित करें कि SSO कॉन्फ़िगरेशन सही ढंग से काम कर रहा है और अनधिकृत पहुंच को रोका गया है।