Neo4j 4.2.x 企业版和 Aura Cloud（2021-06-18 之前）

不受影响的版本：Neo4j Community Edition、所有 4.2 之前的企业版以及自 2021-06-18 起的 Aura Cloud。此外，Neo4j 4.3.x 已包含此修复。

Neo4j 的工程和安全团队在 Neo4j 4.2 版本中发现了一个被归类为“未授权访问”的问题。拥有任何级别数据库访问权限的用户可能会绕过安全机制，获得完整的管理员级别权限。

在事务中执行管理员命令的用户，可能在事务期间保留该命令使用的提升的 Cypher 权限。对于只读的管理员命令，例如 SHOW CURRENT USER，这等同于完全读取权限；而对于写入系统的命令，例如 CREATE DATABASE，则等同于对系统的完全访问权限。

Neo4j 已发布 Neo4j Enterprise 4.2.8 以解决此问题，并建议客户立刻应用此补丁。该补丁在单台服务器上需要停机，但可在集群中通过滚动升级方式执行，以确保无需停机。Aura 客户无需采取任何进一步措施，因为 Neo4j 已于 2021-06-18 将该补丁发布至 Aura Cloud。