描述

Spring for GraphQL 1.1.0 - 1.1.5 和 1.2.0 - 1.2.2 版本中的批处理加载器函数可能会暴露给 GraphQL 上下文，其中包含来自不同会话的值，包括安全上下文值。如果应用程序在通过 DefaultBatchLoaderRegistry 注册批处理加载器函数时提供了 DataLoaderOptions 实例，则容易受到攻击。

受影响的 Spring 产品和版本

• Spring for GraphQL 1.1.0 - 1.1.5
• Spring for GraphQL 1.2.0 - 1.2.2

较旧版本不受影响。

缓解措施

受影响版本的使用者应升级到以下版本

• 1.1.x 应升级到 1.1.6
• 1.2.x 应升级到 1.2.3

致谢

该问题由 Jack Rowland 报告。

参考

• https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N&version=3.1