CVE-2025-31485
GraphQL grant on a property might be cached with different objects
Em resumo
API Platform Core possui um erro de cache onde verificações de permissão GraphQL em propriedades podem ser reutilizadas incorretamente para objetos diferentes, potencialmente permitindo acesso não autorizado a dados que deveriam estar restritos.
Detalhe técnico
O método ItemNormalizer::isCacheKeySafe() falha em impedir a geração da chave de cache para verificações de autorização em nível de campo GraphQL; o método parent normalize() ainda cria a entrada em cache, causando decisões de permissão de um objeto serem aplicadas a outro objeto em requisições subsequentes.
Resumo gerado e traduzido por IA a partir da descrição oficial.
API Platform Core is a system to create hypermedia-driven REST and GraphQL APIs. Prior to 4.0.22 and 3.4.17, a GraphQL grant on a property might be cached with different objects. The ApiPlatform\GraphQl\Serializer\ItemNormalizer::isCacheKeySafe() method is meant to prevent the caching but the parent::normalize method that is called afterwards still creates the cache key and causes the issue. This vulnerability is fixed in 4.0.22 and 3.4.17.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Produtos afetados
api-platform · coreQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://github.com/api-platform/core/commit/7af65aad13037d7649348ee3dcd88e084ef771f8https://github.com/api-platform/core/commit/cba3acfbd517763cf320167250c5bed6d569696ahttps://github.com/api-platform/core/releases/tag/v3.4.17https://github.com/api-platform/core/security/advisories/GHSA-428q-q3vv-3fq3