anonhaven

CVE-2026-23897

HIGH CVSS 3.1: 7,5 EPSS 0.06%
Обновлено 5 февраля 2026
Apollo
Параметр Значение
CVSS 7,5 (HIGH)
Уязвимые версии 2.0.0 — 3.13.0
Тип уязвимости CWE-1333 (Атака через регулярные выражения (ReDoS))
Поставщик Apollo
Публичный эксплойт Нет

Apollo Server — это сервер GraphQL с открытым исходным кодом, соответствующий спецификациям, который совместим с любым клиентом GraphQL, включая клиент Apollo. В версиях от 2.0.0 до 3.13.0, от 4.2.0 до 4.13.0 и от 5.0.0 до 5.4.0 конфигурация startStandaloneServer по умолчанию из @apollo/server/standalone уязвима для атак типа «отказ в обслуживании» (DoS) через специально созданные тела запросов с экзотическими кодировками набора символов. Эта проблема не затрагивает пользователей, которые используют @apollo/server в качестве зависимости для пакетов интеграции, таких как @as-integrations/express5 или @as-integrations/next, а только прямое использование startStandaloneServer.

Показать оригинальное описание (EN)

Apollo Server is an open-source, spec-compliant GraphQL server that's compatible with any GraphQL client, including Apollo Client. In versions from 2.0.0 to 3.13.0, 4.2.0 to before 4.13.0, and 5.0.0 to before 5.4.0, the default configuration of startStandaloneServer from @apollo/server/standalone is vulnerable to denial of service (DoS) attacks through specially crafted request bodies with exotic character set encodings. This issue does not affect users that use @apollo/server as a dependency for integration packages, like @as-integrations/express5 or @as-integrations/next, only direct usage of startStandaloneServer.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Высокое
Полный отказ в обслуживании

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-1333 Inefficient Regular Expression Complexity / ReDoS (Атака через регулярные выражения (ReDoS))

Ссылки 3

https://github.com/apollographql/apollo-server/commit/d25a5bdc377826ad424fcf7f8…
security-advisories@github.com
https://github.com/apollographql/apollo-server/commit/e9d49d163a86b8a33be56ed27…
security-advisories@github.com
https://github.com/apollographql/apollo-server/security/advisories/GHSA-mp6q-xf…
security-advisories@github.com
Share Post Share Share Share