Vulnerabilidad en mercurius (CVE-2025-64166)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-352
Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)
Fecha de publicación:
05/03/2026
Última modificación:
13/03/2026
Descripción
Mercurius es un adaptador GraphQL para Fastify. Antes de la versión 16.4.0, se identificó una vulnerabilidad de falsificación de petición en sitios cruzados (CSRF). El problema surge del análisis incorrecto del encabezado Content-Type en las peticiones. Específicamente, las peticiones con valores de Content-Type como application/x-www-form-urlencoded, multipart/form-data o text/plain podrían ser malinterpretadas como application/json. Esta mala interpretación omite las comprobaciones previas realizadas por la API fetch(), lo que podría permitir que se realicen acciones no autorizadas en nombre de un usuario autenticado. Este problema ha sido parcheado en la versión 16.4.0.
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:mercurius_project:mercurius:*:*:*:*:*:node.js:*:* | 16.4.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/mercurius-js/mercurius/commit/962d402ec7a92342f4a1b7f5f04af01776838c3c
- https://github.com/mercurius-js/mercurius/pull/1187
- https://github.com/mercurius-js/mercurius/security/advisories/GHSA-v66j-6wwf-jc57
- https://github.com/mercurius-js/mercurius/security/advisories/GHSA-v66j-6wwf-jc57