Vulnerabilidad en @apollo (CVE-2026-32621)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

16/03/2026

Última modificación:

16/03/2026

Descripción

Apollo Federation es una arquitectura para componer declarativamente APIs en un grafo unificado. Antes de 2.9.6, 2.10.5, 2.11.6, 2.12.3 y 2.13.2, existe una vulnerabilidad en la ejecución del plan de consulta dentro del gateway que puede permitir la contaminación de Object.prototype en ciertos escenarios. Un cliente malicioso puede ser capaz de contaminar Object.prototype en el gateway directamente elaborando operaciones con alias de campo y/o nombres de variables que apuntan a propiedades heredables del prototipo. Alternativamente, si un subgrafo fuera comprometido por un actor malicioso, podrían ser capaces de contaminar Object.prototype en el gateway elaborando cargas útiles de respuesta JSON que apuntan a propiedades heredables del prototipo. Esta vulnerabilidad está corregida en 2.9.6, 2.10.5, 2.11.6, 2.12.3 y 2.13.2.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.90 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Bajo

Puntuación base 3.x

9.90

Gravedad 3.x

CRÍTICA

Referencias a soluciones, herramientas e información

https://github.com/apollographql/federation/security/advisories/GHSA-pfjj-6f4p-rvmh