Vulnerabilidad en Apollo Router (CVE-2023-45812)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
18/10/2023
Última modificación:
30/10/2023
Descripción
Apollo Router es un router de gráficos configurable y de alto rendimiento escrito en Rust para ejecutar un supergrafo federado que utiliza Apollo Federation. Las versiones afectadas están sujetas a una vulnerabilidad de tipo Denegación de Servicio (DoS) que hace que el Router entre en pánico y finalice cuando se envía una respuesta de varias partes. Cuando los usuarios envían consultas al Router que utiliza `@defer` o Suscripciones, el Router entrará en pánico. Para ser vulnerables, los usuarios de Router deben tener un coprocesador con `coprocessor.supergraph.response` configurado en su `router.yaml` y también admitir `@defer` o Suscripciones. La versión 1.33.0 de Apollo Router tiene una solución para esta vulnerabilidad que se introdujo en el PR #4014. Se recomienda a los usuarios que actualicen. Los usuarios que no puedan actualizar deben evitar el uso de la respuesta supergraph del coprocesador o desactivar el soporte de aplazamiento y suscripciones y continuar usando la respuesta supergraph del coprocesador.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apollographql:apollo_router:*:*:*:*:*:*:*:* | 1.31.0 (incluyendo) | 1.32.0 (incluyendo) |
| cpe:2.3:a:apollographql:apollo_helms-charts_router:*:*:*:*:*:*:*:* | 1.31.0 (incluyendo) | 1.32.0 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página