Jasonbarnett667

**Name of the Vulnerable Software and Affected Versions** Apollo Gateway versions prior to 2.10.1 **Description** The issue concerns a vulnerability that allows queries with deeply nested and reused named fragments to be prohibitively expensive to query plan, specifically during named fragment expansion. This leads to exponential resource usage when deeply nested and reused fragments are involved, resulting in excessive resource consumption and denial of service. **Recommendations** For versions prior to 2.10.1, update to version 2.10.1 to resolve the issue. As a temporary workaround, consider restricting the use of deeply nested and reused named fragments in queries to minimize the risk of exploitation.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Apollo Gateway anteriores à 2.10.1 **Descrição** Uma vulnerabilidade no Apollo Gateway permitia que consultas com fragmentos nomeados profundamente aninhados e reutilizados tornassem o planejamento da consulta proibitivamente custoso, devido às otimizações internas serem frequentemente contornadas. Isso poderia levar ao consumo excessivo de recursos e negação de serviço. O planejador de consultas inclui uma otimização que acelera significativamente o planejamento para seleções GraphQL aplicáveis, mas consultas com fragmentos nomeados profundamente aninhados e reutilizados podem gerar muitas seleções nas quais esta otimização não se aplica, resultando em tempos de planejamento significativamente mais longos. **Recomendações** Para versões anteriores à 2.10.1, atualize para a versão 2.10.1 para resolver o problema. Como solução temporária, considere restringir o uso de fragmentos nomeados profundamente aninhados e reutilizados em consultas para minimizar o risco de consumo excessivo de recursos e negação de serviço.

**Nome do software vulnerável e versões afetadas** Versões do Apollo Router de 1.7.0 a 1.52.0 Versões do Apollo Router de 1.21.0 a 1.52.0 **Descrição** O Apollo Router Core é um roteador de grafos configurável e de alto desempenho, escrito em Rust, para executar um supergrafo federado que utiliza o Apollo Federation 2. As instâncias do Apollo Router são afetadas por uma vulnerabilidade de negação de serviço se determinadas condições forem atendidas, incluindo o uso de coprocessamento externo ou plug-ins nativos do Rust com configurações específicas. A vulnerabilidade pode fazer com que o roteador carregue corpos inteiros de solicitações HTTP na memória, sem levar em conta outras configurações de limitação de tamanho de solicitações HTTP, levando à interrupção por falta de memória se uma solicitação suficientemente grande for enviada. O número estimado de dispositivos potencialmente afetados não foi fornecido. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. Os detalhes técnicos sobre a exploração incluem: - **Endpoints da API:** Não especificados - **Parâmetros ou variáveis vulneráveis:** `coprocessor.router.request.body`, `limits.http max request bytes`, `Request.router request` - **Nomes de funções:** `router service` **Recomendações** Para as versões 1.7.0 a 1.52.0 do Apollo Router, atualize para pelo menos a versão 1.52.1. Para as versões do Apollo Router de 1.21.0 a 1.52.0 com coprocessamento externo, defina a opção de configuração `coprocessor.router.request.body` como `false` como uma solução alternativa temporária. Para as versões do Apollo Router de 1.7.0 a 1.52.