CVE-2024-28101 in Apollo Router
Resumen
por MITRE • 2024-03-21
Apollo Router es un router de gráficos escrito en Rust para ejecutar un supergrafo federado que utiliza Apollo Federation. Las versiones 0.9.5 hasta 1.40.2 están sujetas a una vulnerabilidad de tipo Denegación de servicio (DoS). Al recibir payloads HTTP comprimidos, las versiones afectadas del router evalúan la opción de configuración `limits.http_max_request_bytes` después de descomprimir el payload comprimido en su totalidad. Si las versiones afectadas del router reciben payloads altamente comprimidos, esto podría resultar en un consumo significativo de memoria mientras se expande el payload comprimido. La versión 1.40.2 del router tiene una solución para la vulnerabilidad. Aquellos que no puedan actualizar pueden implementar mitigaciones en servidores proxy o balanceadores de carga ubicados frente a su flota de router (por ejemplo, Nginx, HAProxy o servicios WAF nativos de la nube) creando límites en el tamaño de carga del cuerpo HTTP.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.