关键信息 漏洞概述 漏洞名称: GraphQL query operations security can be bypassed CVE ID: CVE-2025-31481 GHSA ID: GHSA-cg3c-245w-728m 发布者: soyuuka 发布时间: 5 days ago 影响版本 受影响的包: - (Composer): <4.0.21, <3.4.16 - (Composer): <4.0.21, <3.4.16 修复版本: - : 4.0.22, 3.4.17 - : 4.0.22, 3.4.17 严重性 CVSS v3 基本指标: - 攻击向量: 网络 - 攻击复杂度: 低 - 所需权限: 无 - 用户交互: 无 - 范围: 不变 - 机密性影响: 高 - 完整性影响: 无 - 可用性影响: 无 CVSS 分数: 7.5 / 10 漏洞详情 摘要: 使用 Relay 特殊节点类型可以绕过操作上配置的安全性。 详细描述: - 示例代码展示了如何为 GraphQL 操作应用安全配置。 - 通过使用默认可用的 字段,可以绕过安全检查,从而访问任何实体,而无需限制。 影响范围 影响用户: 使用带有 属性的 GraphQL 的所有人。不确定这是否适用于自定义解析器或是否也适用于变异。 修复信息 修复提交: 6b747cc 相关人员 修复开发者: soyuuka 报告者: ausi 修复审查者: alanpoulain