关键信息 漏洞描述: - Apollo Router 存在一个漏洞,允许未认证的查询访问需要额外访问控制的数据。 - 路由器错误地处理了接口类型/字段及其实现对象类型/字段上的访问控制指令。 影响范围: - 受到影响的版本: - apollo-router (Rust) < 1.61.12, < 2.8.1 - apollographql/helm-charts/router < 1.61.12, < 2.8.1 - apollographql/router (GitHub Packages Container Registry) < 1.61.12, < 2.8.1 - apollographql/router (GitHub Releases) < 1.61.12, < 2.8.1 - 已修复版本: - 1.61.12+ - 2.8.1+ 漏洞严重性: - 评分: High (7.5/10) - CVSS v3 base metrics: - 攻击向量: Network - 攻击复杂性: Low - 所需权限: None - 用户交互: None - 范围: Unchanged - 机密性影响: High - 完整性影响: None - 可用性影响: None CVE ID: - CVE-2025-64173 弱点类型: - CWE-288 修复措施: - 更新到已修复的版本之一 (1.61.12+, 2.8.1+) - 若无法立即更新,应将任何现有的访问控制要求同时应用于适当的接口类型/字段及其实现。 影响客户: - 对于在多态类型上定义 , , 或 指令不一致的 Apollo Router 客户。 缓解开发者: - dariuszkuc