Vulnerabilidad en Apollo Router (CVE-2024-28101)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
21/03/2024
Última modificación:
02/01/2026
Descripción
Apollo Router es un router de gráficos escrito en Rust para ejecutar un supergrafo federado que utiliza Apollo Federation. Las versiones 0.9.5 hasta 1.40.2 están sujetas a una vulnerabilidad de tipo Denegación de servicio (DoS). Al recibir payloads HTTP comprimidos, las versiones afectadas del router evalúan la opción de configuración `limits.http_max_request_bytes` después de descomprimir el payload comprimido en su totalidad. Si las versiones afectadas del router reciben payloads altamente comprimidos, esto podría resultar en un consumo significativo de memoria mientras se expande el payload comprimido. La versión 1.40.2 del router tiene una solución para la vulnerabilidad. Aquellos que no puedan actualizar pueden implementar mitigaciones en servidores proxy o balanceadores de carga ubicados frente a su flota de router (por ejemplo, Nginx, HAProxy o servicios WAF nativos de la nube) creando límites en el tamaño de carga del cuerpo HTTP.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apollographql:apollo_router:*:*:*:*:-:*:*:* | 0.9.5 (incluyendo) | 1.40.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/apollographql/router/commit/9e9527c73c8f34fc8438b09066163cd42520f413
- https://github.com/apollographql/router/security/advisories/GHSA-cgqf-3cq5-wvcj
- https://github.com/apollographql/router/commit/9e9527c73c8f34fc8438b09066163cd42520f413
- https://github.com/apollographql/router/security/advisories/GHSA-cgqf-3cq5-wvcj