Vulnerabilidad en GraphQL Mesh (CVE-2025-27098)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
20/02/2025
Última modificación:
27/02/2025
Descripción
GraphQL Mesh es un framework de trabajo y puerta de enlace de GraphQL Federation tanto para GraphQL Federation como para subgrafos que no son de GraphQL Federation, servicios que no son de GraphQL, como REST y gRPC, y también bases de datos como MongoDB, MySQL y PostgreSQL. La vulnerabilidad de falta de verificación en el controlador de archivos estáticos permite que cualquier cliente acceda a los archivos en el sistema de archivos del servidor. Cuando se configura `staticFiles` en la configuración de `serve` en el archivo de configuración, el siguiente controlador no verifica si `absolutePath` todavía está bajo el directorio proporcionado como `staticFiles`. Los usuarios tienen dos opciones para corregir la vulnerabilidad; 1. Actualizar `@graphql-mesh/cli` a una versión superior a `0.82.21`, y si usa `@graphql-mesh/http`, actualizarlo a una versión superior a `0.3.18` 2. Eliminar la opción `staticFiles` de la configuración y usar otras soluciones para servir archivos estáticos.
Impacto
Puntuación base 3.x
5.80
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:the-guild:graphql_mesh_cli:*:*:*:*:*:node.js:*:* | 0.78.0 (incluyendo) | 0.82.22 (excluyendo) |
| cpe:2.3:a:the-guild:graphql_mesh_http:*:*:*:*:*:node.js:*:* | 0.3.19 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página