Informazioni sul CVE-2024-28101
Apollo Router's Compressed Payloads do not respect HTTP Payload Limits
CWE ID: CWE-409
Base Score (CVSS): N/A
CVE: CVE-2024-28101
Descrizione: Il Router Apollo è un router a grafo scritto in Rust per eseguire un supergrafo federato che utilizza Apollo Federation. Versioni 0.9.5 fino a 1.40.2 sono soggetti a una vulnerabilità di tipo Denial-of-Service (DoS). Quando riceve payload HTTP compressi, le versioni interessate del Router valutano l’opzione `limits.http_max_request_bytes` dopo che l’intero payload è stato decomprimito. Se le versioni del Router interessate ricevono payload HTTP compressi altamente compressi, questo potrebbe causare un significativo consumo di memoria mentre il payload compressi viene espanso. La versione 1.40.2 ha una correzione per la vulnerabilità. Chi non è in grado di aggiornare può implementare mitigazioni a proxy o load balancer posizionati davanti al proprio fleet di Router (ad esempio Nginx, HAProxy o servizi WAF cloud-native).
Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: None, Interazione utente: None, Confidenzialità: None, Integrità: None, Disponibilità: High.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | N | None | Non sono richiesti privilegi. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | N | None | Nessun impatto sulla riservatezza. |
| Integrity Impact (I) | N | None | Nessun impatto sull’integrità. |
| Availability Impact (A) | H | High | Rende il sistema inutilizzabile. |
Riferimenti esterni
- https://github.com/apollographql/router/security/advisories/GHSA-cgqf-3cq5-wvcj
- https://github.com/apollographql/router/commit/9e9527c73c8f34fc8438b09066163cd42520f413
Prodotti interessati
- apollographql – router
Relazioni con altri prodotti
Produttore:apollographql
Prodotto: router
Anno: 2024
CWE: CWE-409
CVSS: 0.0