关键信息摘要 漏洞概述 漏洞名称: Improper Enforcement of Access Control on Interface Types and Fields 上报时间: 16小时前 严重程度: High (7.5/10) 影响范围 影响的包: @apollo/composition (npm包) 影响的版本: <2.9.5, <2.10.4, <2.11.5, <2.12.1 修复的版本: 2.9.5, 2.10.4, 2.11.5, 2.12.1 漏洞详情 CVSS v3基础指标: - 攻击向量: Network - 攻击复杂度: Low - 必要权限: None - 用户交互: None - 影响范围: Unchanged - 机密性影响: High - 完整性影响: None - 可用性影响: None CVE ID: CVE-2025-64530 弱点类型: CWE-288 影响人群及影响范围 主要影响使用 Apollo Federation 并在接口类型或字段上定义 、 或 指令的用户。 漏洞可能允许恶意用户通过不同的对象类型或字段查询,绕过接口类型或字段上的访问控制要求。 修复措施 修复版本已更新Apollo Federation的组合逻辑,拒绝在接口类型和字段上使用用户定义的访问控制指令。 必要时,需手动调整子图模式中的访问控制要求。 权宜之计 对于使用未修复组合版本的用户,建议手动复制接口类型或字段上的访问控制要求到相应的实现对象类型或字段上。 不使用Apollo Router访问控制功能的客户,如果未在接口类型或字段上指定访问控制要求,则不受影响,无需采取行动。