CVE-2025-31481
GraphQL query operations security can be bypassed
Em resumo
Uma falha no API Platform Core permite que atacantes burlem as regras de segurança em operações GraphQL ao explorar o tipo especial Relay. Isso significa que usuários não autorizados poderiam executar ações restritas que não deveriam conseguir.
Detalhe técnico
A vulnerabilidade existe no tratamento de tipos especiais Relay do API Platform Core em consultas GraphQL, permitindo que atacantes contornem políticas de segurança configuradas em nível de operação. Um usuário não autenticado ou não autorizado pode executar operações restritas que deveriam ser protegidas por regras de controle de acesso ao construir consultas especialmente formadas direcionadas à interface Relay.
Resumo gerado e traduzido por IA a partir da descrição oficial.
API Platform Core is a system to create hypermedia-driven REST and GraphQL APIs. Using the Relay special node type you can bypass the configured security on an operation. This vulnerability is fixed in 4.0.22 and 3.4.17.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Produtos afetados
api-platform · coreQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://github.com/api-platform/core/commit/55712452b4f630978537bdb2a07dc958202336bbhttps://github.com/api-platform/core/commit/60747cc8c2fb855798c923b5537888f8d0969568https://github.com/api-platform/core/releases/tag/v3.4.17https://github.com/api-platform/core/security/advisories/GHSA-cg3c-245w-728m