Versões do Apollo Server anteriores à 2.14.2

Versões do apollo-server-core anteriores à 2.14.2

Versões do apollo-server-express anteriores à 2.14.2

Versões do apollo-server-azure-functions anteriores à 2.14.2

Versões do apollo-server-cache-memcached anteriores à 2.14.2

Versões do apollo-server-cloud-functions anteriores à 2.14.2

Versões do apollo-server-cloudflare anteriores à 2.14.2

Versões do apollo-server-fastify anteriores à 2.14.2

Versões do apollo-server-hapi anteriores à 2.14.2

versões do apollo-server-koa anteriores à 2.14.2

versões do apollo-server-lambda anteriores à 2.14.2

versões do apollo-server-micro anteriores à 2.14.2

O problema afeta o Apollo Server quando subscriptions: false não é explicitamente passado para as opções do construtor, permitindo uma possível introspecção no transporte de assinaturas WebSocket, mesmo que a introspecção esteja desativada no transporte HTTP. A gravidade do risco depende da existência de informações confidenciais armazenadas no próprio esquema. O conteúdo das descrições do esquema ou segredos revelados por nomes de tipos ou campos determinam o risco. As regras de validação fornecidas pelo usuário usando validationRules não são aplicadas no transporte de assinaturas WebSocket.

Para resolver o problema, atualize o Apollo Server para a versão 2.14.2 ou superior, garantindo que tanto o pacote de integração afetado quanto o pacote apollo-server-core sejam atualizados para as versões corrigidas.

Como solução alternativa temporária, considere desativar as assinaturas definindo `subscripti