漏洞关键信息总结 漏洞概述 GraphQL 复杂度验证器指数级片段遍历 DoS GraphQL 查询复杂度验证器存在漏洞,攻击者可通过发送精心构造的具有二叉扇出片段展开的查询来造成拒绝服务。单个未认证请求即可阻塞 Node.js 事件循环数秒,导致所有并发用户服务被拒绝。 影响范围 利用条件: 仅影响启用了 或 配置选项的部署 修复方案 官方补丁: 将每分支片段遍历替换为记忆化片段计算,将遍历复杂度从指数级 O(2^N) 降低至线性 O(N) 当配置限制被超出时,提前终止遍历 临时缓解措施: 禁用 GraphQL 复杂度限制,将以下配置设为 (默认值): 参考链接 GitHub Security Advisory: GHSA-mf5f-6p54-m98c Parse Server 9.x 修复 PR: #10344 Parse Server 8.x 修复 PR: #10343