CVE-2025-31481
GraphQL query operations security can be bypassed
En resumen
Un fallo en API Platform Core permite a atacantes eludir las reglas de seguridad en operaciones GraphQL aprovechando el tipo especial Relay. Esto significa que usuarios no autorizados podrían ejecutar acciones restringidas que no deberían poder realizar.
Detalle técnico
La vulnerabilidad existe en el manejo de tipos especiales Relay de API Platform Core en consultas GraphQL, permitiendo que atacantes corten políticas de seguridad configuradas a nivel de operación. Un usuario no autenticado o no autorizado puede ejecutar operaciones restringidas que deberían estar protegidas por reglas de control de acceso al construir consultas especialmente formadas dirigidas a la interfaz Relay.
Resumen generado y traducido por IA a partir de la descripción oficial.
API Platform Core is a system to create hypermedia-driven REST and GraphQL APIs. Using the Relay special node type you can bypass the configured security on an operation. This vulnerability is fixed in 4.0.22 and 3.4.17.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Productos afectados
api-platform · core¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
https://github.com/api-platform/core/commit/55712452b4f630978537bdb2a07dc958202336bbhttps://github.com/api-platform/core/commit/60747cc8c2fb855798c923b5537888f8d0969568https://github.com/api-platform/core/releases/tag/v3.4.17https://github.com/api-platform/core/security/advisories/GHSA-cg3c-245w-728m