Informazioni sul CVE-2025-27097
Cache variables with the operations when transforms exist on the root level even if variables change in the further requests with the same operation
CWE ID: CWE-400
Base Score (CVSS): 5.1
CVE: CVE-2025-27097
Descrizione: GraphQL Mesh è un framework e gateway per GraphQL Federation e subgraph non-GraphQL, servizi non-GraphQL, come REST e gRPC, e anche database come MongoDB, MySQL e PostgreSQL. Quando un utente trasforma in modo radice o a singola fonte con trasformazioni, e il client invia la stessa query con variabili diverse, le variabili iniziali vengono utilizzate in tutte le successive richieste fino all’evacuazione del DocumentNode. Se una token viene inviata tramite variabili, le successive richieste agiranno come se la stessa token fosse inviata anche se le successive richieste hanno token diversi. Questo può causare un piccolo leak di memoria, ma non cresce per ogni richiesta, ma per ogni operazione fino all’evacuazione del DocumentNode tramite meccanismo LRU.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
Prodotti interessati
- ardatan – graphql-mesh
Relazioni con altri prodotti
Produttore:ardatan
Prodotto: graphql-mesh
Anno: 2025
CWE: CWE-400
CVSS: 5.1