Apollo Router Core中的漏洞CVE-2025-64173

Apollo Router Core 是 Apollo GraphOS 生态中高性能、可扩展的 GraphQL 网关 / 路由器核心组件，是一个用Rust编写的可配置图路由器。

一、基本情况

Apollo Router Core 专为构建生产级 GraphQL 联邦（Federation）架构设计，极致性能、原生联邦支持、丰富扩展性和企业级安全特性。

Apollo Router Core是 Apollo Router核心底层模块（也常被直接指代 Apollo Router 整体），用于使用Apollo Federation 2运行联邦超图。

栋科技漏洞库关注到在 Apollo Router Core 受影响版本中存在一个漏洞，该漏洞现已被追踪为CVE-2025-64173，漏洞CVSS 3.X评分7.5。

二、漏洞分析

CVE-2025-64173漏洞在以下版本1.61.11以及2.0.0-alpha.0至2.8.1-rc.0中的漏洞，允许未经身份验证的查询访问需要额外访问控制的数据。

由于 Apollo Router Core 受影响版本错误地处理了接口types/fields及其实现对象types/fields上的访问控制指令，将其应用于接口类型/域，

即Apollo Router客户在多态类型（即实现接口类型的对象类型）上定义的@authenticated、@requiresScopes或@policy指令不一致，

然而，GraphQL规范没有定义从接口到其实现的指令的继承规则，在所有实现都有相同要求时忽略了其实现对象类型或字段上的指令。

Apollo Router将对接口类型/字段执行任何指令，但忽略对实现对象types/fields的任何指令（只要所有实现都有相同的要求）。

漏洞影响Apollo Router客户在多态类型（实现接口类型的对象类型）上不一致地定义@authenticated、@requiresScopes或@policy指令。

具体来说，如果对所有实现类型/字段应用相同的访问控制指令，但不对其实现的接口类型/字段适用，则可能会受到影响。

此漏洞可能允许恶意行为者精心设计一个查询，该查询可以绕过对象types/fields的访问控制要求，导致意外的运行时安全漏洞。

而是通过不具有相同访问控制要求的已实现接口types/fields进行查询。

三、影响范围

apollo-router（Rus） < 1.61.12

apollo-router（Rus） < 2.8.1

apollographql/helm-charts/router < 1.61.12

apollographql/helm-charts/router < 2.8.1

apollographql/router（GitHub Packages Container Registry） < 1.61.12

apollographql/router（GitHub Packages Container Registry） < 2.8.1

apollographql/router（GitHub Releases）< 1.61.12

apollographql/router（GitHub Releases） < 2.8.1

四、修复建议

apollo-router（Rus）>= 1.61.12

apollo-router（Rus） >= 2.8.1

apollographql/helm-charts/router >= 1.61.12

apollographql/helm-charts/router >= 2.8.1

apollographql/router（GitHub Packages Container Registry） >= 1.61.12

apollographql/router（GitHub Packages Container Registry） >= 2.8.1

apollographql/router（GitHub Releases） >= 1.61.12

apollographql/router（GitHub Releases） >= 2.8.1

五、参考链接

管理员已设置登录后刷新可查看