**Nome do software vulnerável e versões afetadas:

Versões do Apollo Server anteriores à 2.25.3

Versões do Apollo Server anteriores à 3.4.1

Descrição:

Existe uma vulnerabilidade de cross-site scripting no GraphQL Playground, que é servido pelo Apollo Server em determinadas configurações. Essa vulnerabilidade permite a execução de código JavaScript arbitrário na origem do servidor web, podendo levar ao roubo de cookies e outros dados privados do navegador. O impacto é mais grave se a URL de origem do servidor GraphQL for usada para armazenar dados confidenciais.

O número estimado de dispositivos potencialmente afetados não foi especificado. No entanto, a vulnerabilidade pode ser explorada se um usuário clicar em um link especialmente criado para a página do GraphQL Playground servida pelo Apollo Server.

Os detalhes técnicos sobre a exploração incluem o uso de ApolloServerPluginLandingPageGraphQLPlayground no Apollo Server 3 e a opção playground no Apollo Server 2.

Recomendações:

Para versões do Apollo Server anteriores à 2.25.3, atualize para a versão 2.25.3 ou posterior.

Para versões do Apollo Server anteriores à 3.4.1, atualize para a versão 3.4.1 ou posterior.

Como solução alternativa temporária, considere desativar o GraphQL Playground removendo a chamada ApolloServerPluginLandingPageGraphQLPlayground no Apollo Server 3 ou definindo playground: false no Apollo Server 2.

Como alternativa, configure o Apollo Server para servir a versão mais recente do aplicativo GraphQL Playground definindo a opção version como 1.7.42.