CVE-2025-31485
GraphQL grant on a property might be cached with different objects
En resumen
API Platform Core tiene un error de caché donde las verificaciones de permisos de GraphQL en propiedades pueden reutilizarse incorrectamente para objetos diferentes, permitiendo potencialmente acceso no autorizado a datos que deberían estar restringidos.
Detalle técnico
El método ItemNormalizer::isCacheKeySafe() falla al impedir la generación de clave de caché para verificaciones de autorización a nivel de campo GraphQL; el método parent normalize() aún crea la entrada en caché, causando que decisiones de permisos de un objeto se apliquen a otro objeto en solicitudes posteriores.
Resumen generado y traducido por IA a partir de la descripción oficial.
API Platform Core is a system to create hypermedia-driven REST and GraphQL APIs. Prior to 4.0.22 and 3.4.17, a GraphQL grant on a property might be cached with different objects. The ApiPlatform\GraphQl\Serializer\ItemNormalizer::isCacheKeySafe() method is meant to prevent the caching but the parent::normalize method that is called afterwards still creates the cache key and causes the issue. This vulnerability is fixed in 4.0.22 and 3.4.17.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Productos afectados
api-platform · core¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
https://github.com/api-platform/core/commit/7af65aad13037d7649348ee3dcd88e084ef771f8https://github.com/api-platform/core/commit/cba3acfbd517763cf320167250c5bed6d569696ahttps://github.com/api-platform/core/releases/tag/v3.4.17https://github.com/api-platform/core/security/advisories/GHSA-428q-q3vv-3fq3