关键信息 漏洞概述 漏洞类型: CSRF (Cross-Site Request Forgery) 影响组件: Apollo Embedded Sandbox 和 Explorer CVE ID: CVE-2025-59845 CVSS v3 基本指标: - 严重性: 高 (8.2/10) - 攻击向量: 网络 - 攻击复杂度: 低 - 特权要求: 无 - 用户交互: 必须 - 范围: 变更 - 机密性: 低 - 完整性: 高 - 可用性: 无 影响范围 受影响的版本: - : < 3.7.3 - : < 2.7.2 修复版本: - : 3.7.3 及以上 - : 2.7.2 及以上 影响对象 使用 或 的用户 运行 Apollo Router 并启用嵌入式 Sandbox 的用户 运行 Apollo Server 并启用嵌入式 Sandbox 或 Explorer 的用户 漏洞描述 漏洞源于客户端代码中对 事件处理时缺少来源验证。 恶意网站可以发送伪造消息到嵌入页面,导致受害者浏览器执行任意 GraphQL 查询或变异操作。 修复措施 添加严格来源验证到 DOM 消息处理中。 更新 CDN 嵌入以使用修补后的版本。 解决方案 确保在生产环境中设置 。 不使用嵌入式 Sandbox/Explorer 的客户不受影响。