关键信息 1. 漏洞编号: - CVE-2024-50312 2. 发布日期: - 2024年10月17日 3. 最近更新日期: - 2024年10月22日 4. 严重性: - 中等 5. 描述: - 一个漏洞存在于GraphQL中,由于GraphQL introspection查询的不当访问控制。未经授权的用户可以检索可用查询和突变的全面列表。暴露于这一漏洞会增加攻击面,因为它可以促进对应用程序GraphQL实现特定的漏洞或错误的发现。 6. 缓解措施: - GraphQL introspection应被禁用。用户不应具有查看所有可用查询、突变和数据类型的能力。 7. 受影响的包和Red Hat安全补丁: - Red Hat OpenShift Container Platform 4 - openShift4/ose-console - 影响状态: 影响 8. CVSS评分: - CVSS v3 Base Score: 5.3 - CVSS v3 Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N 9. 致谢: - 感谢Awomir Zakrzewski、Maksymilian Kubiak和Pawe Zdunek报告此问题。 10. 常见问题: - 为什么Red Hat的CVSS v3评分或影响与其他供应商不同? - 我的产品被列为“正在调查”或“受影响”,Red Hat何时会发布此漏洞的修复? - 如果我的产品被列为“无法修复”,我该怎么办? - 如果我的产品被列为“修复延期”,我该怎么办? - 什么是缓解措施? - 我有Red Hat产品,但它不在上述列表中,它是否受影响? - 为什么我的安全扫描器报告我的产品受到此漏洞的影响,尽管我的产品版本已修复或不受影响? 11. 免责声明: - 本页面由系统自动生成,未进行错误或遗漏的检查。 - 有关澄清或更正,请联系Red Hat产品安全团队。 12. 版权: - CVE描述版权 © 2021