Apollo Router中的安全漏洞CVE-2025-64347

Apollo Router 是一个用 Rust 编写的可配置、高性能的图路由器，用于运行使用 Apollo Federation 2 联合超级图。开车时用的导航模块。

一、基本情况

Apollo Router是Apollo GraphQL生态系统核心组件，作为高性能GraphQL网关，负责处理客户端请求、执行查询计划并与后端服务通信。

Apollo Router图路由器核心功能包括查询规划、响应缓存、安全控制（如 CORS 和 JWT 认证）以及多平台部署（如 AWS、Docker 等）。

栋科技漏洞库关注到 Apollo Router 受影响版本中存在一个漏洞，该漏洞现已经被追踪为CVE-2025-64347，该漏洞的CVSS 3.X评分7.5。

二、漏洞分析

CVE-2025-64347漏洞是存在于 Apollo Router 版本 1.61.12-rc.0 及以下版本和 2.8.1-rc.0 中存在的安全漏洞，鉴于用户较多因此影响较广。

该漏洞会允许通过带有访问控制指令（@authenticated、@requiresScopes和@policy）的架构元素对受保护的数据进行未经授权的访问。

该漏洞影响Apollo Router客户，这些客户在通过@link导入重命名的架构元素上定义了@authenticated、@requiresScopes或@policy指令。

允许通过模式元素（通过 @link 导入重命名访问控制指令， @authenticated、@requiresScopes 和 @policy）未经授权访问受保护数据。

该漏洞源于Router路由器未对模式元素（例如字段和类型）上重命名的访问控制指令强制执行，使得查询可绕过这些元素级别的访问控制。

该漏洞可能允许恶意行为者精心设计一个查询，该查询可以绕过对受重命名访问控制指令保护的模式元素的访问控制要求。

三、影响范围

Apollo Router <= 1.61.12-rc.0

Apollo Router <= 2.8.1-rc.0

四、修复建议

Apollo Router >= 1.61.12

Apollo Router >= 2.8.1

五、参考链接

管理员已设置登录后刷新可查看