关键信息 漏洞概述 漏洞名称: Apollo Router Query Planner Vulnerable to Excessive Resource Consumption via Named Fragment Expansion CVE ID: CVE-2025-32034 CVSS 评分: 7.5/10 (高危) 发布者: jasonbarnett667 发布时间: 昨天 影响范围 受影响版本: - (Rust): =2.0.0-alpha.0 =2.0.0-alpha.0 =2.0.0-alpha.0 =2.0.0-alpha.0 <2.1.1 修复版本: - : 1.61.2, 2.1.1 - : 1.61.2, 2.1.1 - (GitHub Packages Container Registry): 1.61.2, 2.1.1 - (GitHub Releases): 1.61.2, 2.1.1 漏洞详情 影响: - 深度嵌套和重复使用的命名片段在查询计划期间,特别是在命名片段扩展时,会导致查询计划的计算成本过高。这可能导致资源过度消耗和服务拒绝。 细节: - 命名片段在查询计划期间每个片段传播时被扩展一次,导致深度嵌套和重复使用片段时资源使用呈指数级增长。 修复与缓解措施 修复措施: - 引入了新的Query Fragment Expansion Limit指标,用于计算查询在完全展开其片段传播时的选择数量,并检查限制以防止过度计算。 补丁: - 已在 版本1.61.2和2.1.1中修复。 变通方法: - 唯一已知的变通方法是“安全列表”或“仅使用ID的安全列表”,具体参见Apollo GraphQL Docs。 参考资料 Query Planning Documentation 致谢 感谢安全社区在识别和改进查询计划机制的性能和安全性方面所做的努力。