描述

Spring for GraphQL 1.1.0 - 1.1.5 和 1.2.0 - 1.2.2 版本中的批次載入器函式可能會暴露給 GraphQL 內容，其中包含來自不同工作階段的值，包括安全性內容值。 如果應用程式在透過 DefaultBatchLoaderRegistry 註冊批次載入器函式時提供 DataLoaderOptions 實例，則該應用程式容易受到攻擊。

受影響的 Spring 產品和版本

• Spring for GraphQL 1.1.0 - 1.1.5
• Spring for GraphQL 1.2.0 - 1.2.2

舊版本不受影響。

緩解措施

受影響版本的用戶應升級到以下版本

• 1.1.x 應升級到 1.1.6
• 1.2.x 應升級到 1.2.3

功勞

此問題由 Jack Rowland 回報。

參考資料

• https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N&version=3.1