描述

Spring for GraphQL 版本 1.1.0 - 1.1.5 和 1.2.0 - 1.2.2 中的批處理載入器函式可能會暴露於 GraphQL 上下文，其中包含來自不同會話的值，包括安全上下文值。 如果應用程式透過 DefaultBatchLoaderRegistry 註冊批處理載入器函式時提供了 DataLoaderOptions 例項，則該應用程式容易受到攻擊。

受影響的 Spring 產品和版本

• Spring for GraphQL 1.1.0 - 1.1.5
• Spring for GraphQL 1.2.0 - 1.2.2

舊版本不受影響。

緩解措施

受影響版本的使用者應升級到以下版本

• 1.1.x 應升級到 1.1.6
• 1.2.x 應升級到 1.2.3

致謝

該問題由 Jack Rowland 報告。

參考

• https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N&version=3.1