一、 漏洞 CVE-2025-27098 基础信息
漏洞标题
由于graphql-mesh中staticFiles HTTP处理器缺少检查导致的可无限制访问整个文件系统的漏洞
来源:AIGC 神龙大模型
漏洞描述信息
GraphQL Mesh 是一个用于 GraphQL 联盟子图和非 GraphQL 联盟子图、非 GraphQL 服务(如 REST 和 gRPC)以及数据库(如 MongoDB、MySQL 和 PostgreSQL)的 GraphQL 联盟框架和网关。该框架中的静态文件处理程序存在检查缺失漏洞,允许任何客户端访问服务器文件系统中的文件。当配置文件中的 `serve` 设置中设置了 `staticFiles` 时,该处理程序不会检查 `absolutePath` 是否仍然位于提供的 `staticFiles` 目录下。用户可以通过以下两种方式修复该漏洞:1. 将 `@graphql-mesh/cli` 更新到 `0.82.21` 以上的版本,如果使用 `@graphql-mesh/http`,则将其更新到 `0.3.18` 以上版本。2. 从配置中移除 `staticFiles` 选项,并使用其他解决方案来服务静态文件。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
对路径名的限制不恰当(路径遍历)
来源:AIGC 神龙大模型
漏洞标题
Unwanted access to the entire file system vulnerability due to a missing check in `staticFiles` HTTP handler in graphql-mesh
来源:美国国家漏洞数据库 NVD
漏洞描述信息
GraphQL Mesh is a GraphQL Federation framework and gateway for both GraphQL Federation and non-GraphQL Federation subgraphs, non-GraphQL services, such as REST and gRPC, and also databases such as MongoDB, MySQL, and PostgreSQL. Missing check vulnerability in the static file handler allows any client to access the files in the server's file system. When `staticFiles` is set in the `serve` settings in the configuration file, the following handler doesn't check if `absolutePath` is still under the directory provided as `staticFiles`. Users have two options to fix vulnerability; 1. Update `@graphql-mesh/cli` to a version higher than `0.82.21`, and if you use `@graphql-mesh/http`, update it to a version higher than `0.3.18` 2. Remove `staticFiles` option from the configuration, and use other solutions to serve static files.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
对路径名的限制不恰当(路径遍历)
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-27098 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-27098 的情报信息