apollographql router hasta 1.52.0 denegación de servicio
| CVSS Puntuación meta temporal | Precio actual del exploit (≈) | Puntuación de interés CTI |
|---|---|---|
| 7.4 | $0-$5k | 0.00 |
Resumen
Una vulnerabilidad clasificada como crítica ha sido encontrada en apollographql router hasta 1.52.0. Se ve afectada una función desconocida. La manipulación conduce a denegación de servicio. Esta vulnerabilidad se conoce como CVE-2024-43783. El ataque puede realizarse a distancia. No existe ningún exploit disponible. Se recomienda actualizar el componente afectado.
Detalles
Una vulnerabilidad clasificada como crítica ha sido encontrada en apollographql router hasta 1.52.0. Una función desconocida es afectada por esta vulnerabilidad. Por la manipulación de un input desconocido se causa una vulnerabilidad de clase denegación de servicio. Esto tiene repercusión sobre la la disponibilidad. CVE resume:
Apollo Router Core es un enrutador de gráficos configurable y de alto rendimiento escrito en Rust para ejecutar un supergrafo federado que utiliza Apollo Federation 2. Las instancias del enrutador Apollo que ejecutan versiones >=1.21.0 y <1.52.1 se ven afectadas por una denegación de vulnerabilidad del servicio si _todo_ lo siguiente es verdadero: 1. El enrutador Apollo se ha configurado para admitir [coprocesamiento externo] (https://www.apollographql.com/docs/router/customizations/coprocessor). 2. El enrutador Apollo se ha configurado para enviar cuerpos de solicitud a los coprocesadores. Esta es una configuración no predeterminada y los administradores deben configurarla intencionalmente. Las instancias del enrutador Apollo que ejecutan las versiones >=1.7.0 y <1.52.1 se ven afectadas por una vulnerabilidad de denegación de servicio si se cumple todo lo siguiente: 1. El enrutador se ha configurado para utilizar un complemento Native Rust desarrollado a medida. 2. El complemento accede a Request.router_request en la capa RouterService. 3. Estás acumulando el cuerpo de Request.router_request en la memoria. Si utiliza una configuración afectada, el enrutador cargará cuerpos completos de solicitudes HTTP en la memoria sin respetar otras configuraciones que limitan el tamaño de las solicitudes HTTP, como limites.http_max_request_bytes. Esto puede provocar que el enrutador finalice por falta de memoria (OOM) si se envía una solicitud suficientemente grande al enrutador. De forma predeterminada, el enrutador establece límites.http_max_request_bytes en 2 MB. Si tiene una configuración afectada como se define anteriormente, actualice al menos a Apollo Router 1.52.1. Si no puede actualizar, puede mitigar la oportunidad de denegación de servicio que afecta a los coprocesadores externos configurando la opción de configuración coprocessor.router.request.body en falso. Tenga en cuenta que cambiar esta opción de configuración cambiará la información enviada a cualquier coprocesador que haya configurado y puede afectar la funcionalidad implementada por esos coprocesadores. Si ha desarrollado un complemento Native Rust y no puede actualizarlo, puede actualizar su complemento para no acumular el cuerpo de la solicitud o imponer un límite máximo de tamaño del cuerpo. También puede mitigar este problema limitando los tamaños de carga útil del cuerpo HTTP antes del enrutador (por ejemplo, en un proxy o dispositivo de firewall de aplicaciones web).El advisory puede ser descargado de github.com. La vulnerabilidad es identificada como CVE-2024-43783. Se considera fácil de explotar. El ataque puede ser iniciado desde la red. La explotación no requiere ninguna forma de autentificación. No se conoce los detalles técnicos ni hay ningún exploit disponible.
Una actualización a la versión 1.52.1 elimina esta vulnerabilidad. La actualización se puede descargar de github.com. Aplicando el parche 7a9c020608a62dcaa306b72ed0f6980f15923b14 es posible eliminar el problema. El parche puede ser descargado de github.com. El mejor modo sugerido para mitigar el problema es Actualización.
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Producto
Escribe
Proveedor
Nombre
Versión
- 1.0
- 1.1
- 1.2
- 1.3
- 1.4
- 1.5
- 1.6
- 1.7
- 1.8
- 1.9
- 1.10
- 1.11
- 1.12
- 1.13
- 1.14
- 1.15
- 1.16
- 1.17
- 1.18
- 1.19
- 1.20
- 1.21
- 1.22
- 1.23
- 1.24
- 1.25
- 1.26
- 1.27
- 1.28
- 1.29
- 1.30
- 1.31
- 1.32
- 1.33
- 1.34
- 1.35
- 1.36
- 1.37
- 1.38
- 1.39
- 1.40
- 1.41
- 1.42
- 1.43
- 1.44
- 1.45
- 1.46
- 1.47
- 1.48
- 1.49
- 1.50
- 1.51
- 1.52.0
Licencia
Sitio web
- Producto: https://github.com/apollographql/router/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Confiabilidad: 🔍
CVSSv3
VulDB Puntuación meta base: 7.5VulDB Puntuación meta temporal: 7.4
VulDB Puntuación base: 7.5
VulDB Puntuación temporal: 7.2
VulDB Vector: 🔍
VulDB Confiabilidad: 🔍
NVD Puntuación base: 7.5
NVD Vector: 🔍
CNA Puntuación base: 7.5
CNA Vector (GitHub_M): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complejidad | Autenticación | Confidencialidad | Integridad | Disponibilidad |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Puntuación base: 🔍
VulDB Puntuación temporal: 🔍
VulDB Confiabilidad: 🔍
Explotación
Clase: Denegación de servicioCWE: CWE-770 / CWE-400 / CWE-404
CAPEC: 🔍
ATT&CK: 🔍
Físico: No
Local: No
Remoto: Sí
Disponibilidad: 🔍
Estado: No está definido
EPSS Score: 🔍
EPSS Percentile: 🔍
Predicción de precios: 🔍
Estimación del precio actual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoy | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Inteligencia de amenazas
Interés: 🔍Actores activos: 🔍
Grupos APT activos: 🔍
Contramedidas
Recomendación: ActualizaciónEstado: 🔍
Hora de 0 días: 🔍
Actualización: router 1.52.1
Parche: 7a9c020608a62dcaa306b72ed0f6980f15923b14
Línea de tiempo
2024-08-16 🔍2024-08-27 🔍
2024-08-27 🔍
2024-09-13 🔍
Fuentes
Producto: github.comAviso: GHSA-x6xq-whh3-gg32
Estado: Confirmado
CVE: CVE-2024-43783 (🔍)
GCVE (CVE): GCVE-0-2024-43783
GCVE (VulDB): GCVE-100-275960
Artículo
Fecha de creación: 2024-08-27 21:00Actualizado: 2024-09-13 08:13
Cambios: 2024-08-27 21:00 (67), 2024-08-28 15:53 (1), 2024-09-13 08:13 (10)
Completo: 🔍
Cache ID: 216::103
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Sin comentarios aún. Idiomas: es + pt + en.
Por favor, inicie sesión para comentar.