关键信息 漏洞概述 漏洞名称: Apollo Router Query Validation Vulnerable to Excessive Resource Consumption via Named Fragment Processing CVE ID: CVE-2025-32380 严重性: 高 (7.5/10) CVSS v3 基本指标: - 攻击向量: 网络 - 攻击复杂度: 低 - 所需权限: 无 - 用户交互: 无 - 范围: 不变 - 机密性影响: 无 - 完整性影响: 无 - 可用性影响: 高 影响 摘要: Apollo Router 使用 Apollo Compiler 处理具有深度嵌套和重用的命名片段的查询时,会导致验证过程异常昂贵。这可能导致资源过度消耗和拒绝服务。 详细信息: 在某些情况下,命名片段在查询验证期间按片段传播处理一次,导致涉及深度嵌套和重用片段时出现指数级资源使用。 修复/缓解措施 Apollo Router 的 Apollo Compiler 使用已更新,使得验证逻辑仅处理每个命名片段一次,防止冗余遍历。 补丁 受影响版本: - (=2.0.0-alpha.0 =2.0.0-alpha.0 =2.0.0-alpha.0 =2.0.0-alpha.0 <2.1.1) 修复版本: - : 1.61.2, 2.1.1 解决方案 唯一已知的解决方法是“仅使用 ID 进行安全列表”,参考 Apollo GraphQL 文档中的“使用持久查询进行安全列表”。但该安全级别不足以防止自由形式的 GraphQL 查询发送到 Apollo Router。 引用 Query Planning Documentation 致谢 感谢安全社区在识别和改进查询验证机制的性能和安全性方面的努力。