Neo4j Enterprise权限解析绕过漏洞CVE-2026-1497

Neo4j Enterprise 复合数据库权限解析绕过漏洞(CVE-2026-1497)

Neo4j Enterprise是 Neo4j 公司推出的商业许可版图数据库，其基于属性图模型，面向生产环境、高并发、高可用、大规模图数据场景。

一、基本情况

Neo4j Enterprise是一款高性能企业级图数据库管理系统，节点/关系/属性原生存储，无索引邻接，复杂关系查询性能远超关系型数据库。

Neo4j Enterprise 是生产级图数据库事实标准，以原生图性能+企业级可靠性+完整安全与运维为核心，提供完整企业级能力与官方支持。

栋科技漏洞库关注到 Neo4j Enterprise 在 2026.02 和 5.26.22 之前版本中存在的安全漏洞，追踪为CVE-2026-1497，CVSS 4.0评分2.0。

二、漏洞分析

CVE-2026-1497漏洞是 2026.02 和 5.26.22 之前的版本中，复合数据库（Composite Databases）的命名空间解析逻辑存在的一处缺陷。

该漏洞源于受影响版本的命名空间解析逻辑错误，当管理员意图为远程数据库成分（格式为 "namespace.name"）授予用户访问权限时，

使得受影响版本的系统会错误地将该权限授予任何名为 "name" 的本地数据库或远程别名。

如果执行授权命令时对应的本地数据库或别名尚不存在，该权限将在未来创建同名对象时自动生效，导致非预期的越权访问和数据泄露。

三、影响范围

Neo4j Enterprise < 2026.02

Neo4j Enterprise < 5.26.22

四、修复建议

Neo4j Enterprise >= 2026.02

Neo4j Enterprise >= 5.26.22

五、参考链接

管理员已设置登录后刷新可查看