CVE-2025-27407

Nome do Software Vulnerável e Versões Afetadas graphql-ruby versões 1.11.5 até 1.11.7 graphql-ruby versões 1.12.0 até 1.12.24 graphql-ruby versões 1.13.0 até 1.13.23 graphql-ruby versões 2.0.0 até 2.0.31 graphql-ruby versões 2.1.0 até 2.1.13 graphql-ruby versões 2.2.0 até 2.2.16 graphql-ruby versões 2.3.0 até 2.3.20

Descrição O problema permite execução remota de código ao carregar um esquema GraphQL manipulado. Qualquer sistema que carrega um esquema via JSON de uma fonte não confiável está vulnerável, incluindo aqueles que usam GraphQL::Client para carregar esquemas externos via introspecção GraphQL. A vulnerabilidade está relacionada às funções GraphQL::Schema.from introspection e GraphQL::Schema::Loader.load.

Recomendações Para versões 1.11.5 até 1.11.7, atualize para a versão 1.11.8 ou posterior. Para versões 1.12.0 até 1.12.24, atualize para a versão 1.12.25 ou posterior. Para versões 1.13.0 até 1.13.23, atualize para a versão 1.13.24 ou posterior. Para versões 2.0.0 até 2.0.31, atualize para a versão 2.0.32 ou posterior. Para versões 2.1.0 até 2.1.13, atualize para a versão 2.1.14 ou posterior. Para versões 2.2.0 até 2.2.16, atualize para a versão 2.2.17 ou posterior. Para versões 2.3.0 até 2.3.20, atualize para a versão 2.3.21 ou posterior. Como solução temporária, considere restringir o acesso às funções GraphQL::Schema.from introspection e GraphQL::Schema::Loader.load para minimizar o risco de exploração.