Vulnerabilidad en Apollo Router Core (CVE-2025-32032)

Apollo Router Core es un enrutador de grafos configurable y de alto rendimiento, escrito en Rust para ejecutar un supergrafo federado que utiliza Apollo Federation 2. Una vulnerabilidad en Apollo Router hacía que la planificación de consultas con fragmentos con nombre profundamente anidados y reutilizados fuera prohibitivamente costosa, especialmente debido a que las optimizaciones internas se omitían con frecuencia. El planificador de consultas incluye una optimización que acelera significativamente la planificación de las selecciones GraphQL aplicables. Sin embargo, las consultas con fragmentos con nombre profundamente anidados y reutilizados pueden generar muchas selecciones donde esta optimización no aplica, lo que resulta en tiempos de planificación significativamente más largos. Dado que el planificador de consultas no impone un tiempo de espera, un pequeño número de estas consultas puede agotar el grupo de subprocesos del enrutador, dejándolo inoperativo. Esto podría provocar un consumo excesivo de recursos y denegación de servicio. Esto se ha solucionado en las versiones 1.61.2 y 2.1.1 de apollo-router.