中危 Apollo Router 安全漏洞(CVE-2023-41317)
CVE编号
CVE-2023-41317利用情况
暂无补丁情况
官方补丁披露时间
2023-09-06漏洞描述
Apollo Router是一个可配置的高性能图形路由器,用于运行使用Apollo Federation 2的联合超级图。受影响的版本存在一个拒绝服务(DoS)漏洞,当启用GraphQL订阅时,会导致路由器崩溃和终止。只有在满足以下所有条件时才能触发该漏洞:1. 运行Apollo Router v1.28.0、v1.28.1或v1.29.0版本(受影响版本);和2. 提供给路由器的超级图模式(通过Apollo Uplink或通过其他配置显式提供)具有定义的根字段的“subscription”类型;和3. 提供给路由器的YAML配置启用了订阅(默认情况下为禁用),可以通过设置`enabled: true`或在`subscriptions`对象中设置有效的`mode`来启用(如[订阅文档](https://www.apollographql.com/docs/router/executing-operations/subscription-support/#router-setup)中所示);和4. 路由器接收到一个匿名(未命名)的`subscription`操作(例如`subscription { ... }`)。当同时满足这四个条件时,受影响的版本将会崩溃和终止。该漏洞没有数据隐私风险或敏感信息泄露。此问题在Apollo Router v1.29.1中修复。建议用户升级。对于运行受影响版本的用户来说,升级到v1.29.1应该是一个明确且简单的升级路径。然而,如果你的图形不需要订阅,但通过配置启用了订阅,那么禁用订阅是另一个缓解风险的选项。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | apollographql | apollo_router | * | From (including) 1.28.0 | Up to (excluding) 1.29.1 | ||||
- 攻击路径 本地
- 攻击复杂度 困难
- 权限要求 管控权限
- 影响范围 有限影响
- EXP成熟度 未验证
- 补丁情况 官方补丁
- 数据保密性 无影响
- 数据完整性 无影响
- 服务器危害 无影响
- 全网数量 N/A
| CWE-ID | 漏洞类型 |
| CWE-755 | 对异常条件的处理不恰当 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论