2021-06-18 之前的 Neo4j 4.2.x Enterprise 和 Aura Cloud

未受影响的版本: Neo4j Community Edition、所有 4.2 之前的 Enterprise 版本以及 2021-06-18 之后的 Aura Cloud。此外，Neo4j 4.3.x 也包含此修复。

Neo4j 工程和安全团队已在 Neo4j 4.2 版本中发现一个归类为“未经授权访问”的问题。任何级别数据库访问权限的用户都有可能绕过安全限制并获得完整的管理员级别访问权限。

在事务中执行管理命令的用户可能会在事务期间保留该命令所使用的提升的 Cypher 权限。对于只读管理命令（例如 SHOW CURRENT USER），这将是完全读取访问权限；对于写入系统命令（例如 CREATE DATABASE），这将是完全系统访问权限。

Neo4j 已发布 Neo4j Enterprise 4.2.8 以解决此问题，并建议客户立即应用此补丁。此补丁需要单个服务器停机，但可以在集群上通过滚动升级执行，以确保不出现停机。Aura 客户无需采取进一步行动，因为 Neo4j 已于 2021-06-18 向 Aura Cloud 发布了此补丁。