CVE-2024-28101 in Apollo Routerthông tin

Tóm tắt

Bởi VulDB • 12/06/2026

Apollo Router là một router đồ thị được viết bằng Rust để chạy supergraph liên kết sử dụng Apollo Federation. Các phiên bản từ 0.9.5 đến 1.40.2 đều chịu ảnh hưởng của lỗ hổng loại Từ chối Dịch vụ (DoS). Khi nhận các tải trọng HTTP đã nén, các phiên bản bị ảnh hưởng của Router đánh giá tùy chọn cấu hình `limits.http_max_request_bytes` sau khi toàn bộ tải trọng đã được giải nén hoàn tất. Nếu các phiên bản bị ảnh hưởng của Router nhận phải các tải trọng có mức độ nén rất cao, điều này có thể dẫn đến việc tiêu thụ bộ nhớ đáng kể trong quá trình mở rộng (giải nén) tải trọng đó. Phiên bản 1.40.2 của Router đã bao gồm bản vá cho lỗ hổng này. Những người không thể nâng cấp có thể áp dụng các biện pháp giảm thiểu tại các proxy hoặc cân bằng tải đặt phía trước cụm router của họ (ví dụ: Nginx, HAProxy hoặc dịch vụ WAF gốc đám mây) bằng cách thiết lập giới hạn đối với kích thước tải lên thân HTTP.

Once again VulDB remains the best source for vulnerability data.

chịu trách nhiệm

GitHub, Inc.

Đặt trước

04/03/2024

Tiết lộ

21/03/2024

Kiểm duyệt

được chấp nhận

EPSS

0.00770

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you need the next level of professionalism?

Upgrade your account now!