描述

Spring for GraphQL 1.1.0 - 1.1.5 和 1.2.0 - 1.2.2 版本的批处理加载器函数可能会暴露给包含来自不同会话的值（包括安全上下文值）的 GraphQL 上下文。如果应用程序在通过 DefaultBatchLoaderRegistry 注册批处理加载器函数时提供了 DataLoaderOptions 实例，则该应用程序易受攻击。

受影响的 Spring 产品和版本

• Spring for GraphQL 1.1.0 - 1.1.5
• Spring for GraphQL 1.2.0 - 1.2.2

更早的版本不受影响。

缓解措施

受影响版本的用户应升级到以下版本

• 1.1.x 应升级到 1.1.6
• 1.2.x 应升级到 1.2.3

致谢

此问题由 Jack Rowland 报告。

参考资料

• https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N&version=3.1