Vulnerabilidad en graphql-go (CVE-2022-21708)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

21/01/2022

Última modificación:

24/07/2023

Descripción

graphql-go es un servidor GraphQL con un enfoque en la facilidad de uso. En versiones anteriores a 1.3.0, se presenta una vulnerabilidad DoS posible debido a un fallo en la librería que permitiría a un atacante con consultas específicamente diseñadas causar pánicos de desbordamiento de pila. Cualquier usuario con acceso al handler de GraphQL puede enviar estas consultas y causar desbordamientos de pila. Esto, a su vez, podría comprometer la capacidad del servidor para servir datos a sus usuarios. El problema ha sido parcheado en la versión "v1.3.0". La única medida de mitigación conocida para este problema es deshabilitar la opción "graphql.MaxDepth" de su esquema, lo que no es recomendado

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

6.50

Gravedad 3.x

MEDIA

Vector 2.0

AV:N/AC:M/Au:S/C:N/I:N/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 3.50 BAJA
Vector: AV:N/AC:M/Au:S/C:N/I:N/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Simple
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Físico