Vulnerabilidad en Apollo Gateway (CVE-2025-32031)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

07/04/2025

Última modificación:

01/08/2025

Descripción

Apollo Gateway proporciona utilidades para combinar múltiples microservicios GraphQL en un único endpoint GraphQL. Antes de la versión 2.10.1, una vulnerabilidad en Apollo Gateway hacía que la planificación de consultas con fragmentos con nombre profundamente anidados y reutilizados fuera excesivamente costosa, especialmente debido a que las optimizaciones internas se omitían con frecuencia. El planificador de consultas incluye una optimización que acelera significativamente la planificación de las selecciones GraphQL aplicables. Sin embargo, las consultas con fragmentos con nombre profundamente anidados y reutilizados pueden generar muchas selecciones donde esta optimización no aplica, lo que resulta en tiempos de planificación significativamente más largos. Dado que el planificador de consultas no impone un tiempo de espera, un pequeño número de estas consultas puede inutilizar la puerta de enlace. Esto podría provocar un consumo excesivo de recursos y una denegación de servicio. Esto se ha solucionado en la versión 2.10.1 de @apollo/gateway.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto