PT-2024-30653 · Apollo · Apollo Router
Jasonbarnett667
·
Publicado
2024-08-27
·
Atualizado
2024-09-12
·
CVE-2024-43783
CVSS v4.0
8.7
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do Apollo Router de 1.7.0 a 1.52.0
Versões do Apollo Router de 1.21.0 a 1.52.0
Descrição
O Apollo Router Core é um roteador de grafos configurável e de alto desempenho, escrito em Rust, para executar um supergrafo federado que utiliza o Apollo Federation 2. As instâncias do Apollo Router são afetadas por uma vulnerabilidade de negação de serviço se determinadas condições forem atendidas, incluindo o uso de coprocessamento externo ou plug-ins nativos do Rust com configurações específicas. A vulnerabilidade pode fazer com que o roteador carregue corpos inteiros de solicitações HTTP na memória, sem levar em conta outras configurações de limitação de tamanho de solicitações HTTP, levando à interrupção por falta de memória se uma solicitação suficientemente grande for enviada.
O número estimado de dispositivos potencialmente afetados não foi fornecido. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada.
Os detalhes técnicos sobre a exploração incluem:
-
Endpoints da API: Não especificados
-
Parâmetros ou variáveis vulneráveis:
coprocessor.router.request.body,limits.http max request bytes,Request.router request -
Nomes de funções:
router service
Recomendações
Para as versões 1.7.0 a 1.52.0 do Apollo Router, atualize para pelo menos a versão 1.52.1.
Para as versões do Apollo Router de 1.21.0 a 1.52.0 com coprocessamento externo, defina a opção de configuração
coprocessor.router.request.body como false como uma solução alternativa temporária.Para as versões do Apollo Router de 1.7.0 a 1.52.
Exploit
Correção
Allocation of Resources Without Limits
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apollo Router