CVE-2025-23204

GraphQl securityAfterResolver not called

CVSS 4.4 MEDIUMEPSS 0.3%CWE-20

En resumen

Una verificación de seguridad en APIs GraphQL se omite debido a un error de programación, permitiendo que solicitudes no autorizadas pasen cuando se usan ciertas configuraciones de seguridad.

Detalle técnico

Una vulnerabilidad de flujo de control en API Platform Core (v3.3.8+) causa que la verificación securityAfterResolver sea sobrescrita sin una sentencia break en una cláusula condicional. Esto afecta la autorización solo cuando las reglas de seguridad se definen exclusivamente en el hook afterResolver sin restricciones correspondientes en la capa de seguridad principal, potencialmente permitiendo acceso no autorizado a resolvers protegidos.

Resumen generado y traducido por IA a partir de la descripción oficial.

API Platform Core is a system to create hypermedia-driven REST and GraphQL APIs. Starting in version 3.3.8, a security check that gets called after GraphQl resolvers is always replaced by another one as there's no break in a clause. As this falls back to `security`, the impact is there only when there's only a security after resolver and none inside security. Version 3.3.15 contains a patch for the issue.

CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:L/I:L/A:N

Productos afectados

api-platform · core

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/api-platform/core/commit/dc4fc84ba93e22b4f44a37e90a93c6d079c1c620 https://github.com/api-platform/core/pull/6444 https://github.com/api-platform/core/pull/6444/files#diff-09e3c2cfe12a2ce65bd6c983c7ca6bfcf783f852b8d0554bb938e8ebf5e5fa65R56 https://github.com/api-platform/core/security/advisories/GHSA-7mxx-3cgm-xxv3 https://github.com/soyuka/core/blob/7e2e8f9ff322ac5f6eb5f65baf432bffdca0fd51/src/Symfony/Security/State/AccessCheckerProvider.php#L49-L57