Mercurius is vulnerable to denial of service (DoS) when using subscriptions 漏洞信息(CVE-2023-22477)

一、漏洞 CVE-2023-22477 基础信息

漏洞标题

Mercurius在使用订阅时容易受到拒绝服务(DoS)攻击。

来源：AIGC 神龙大模型

漏洞描述信息

当使用订阅时，Mercurius 可能容易受到拒绝服务 (DoS) 攻击

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

来源：AIGC 神龙大模型

漏洞类别

N/A

来源：AIGC 神龙大模型

漏洞标题

Mercurius is vulnerable to denial of service (DoS) when using subscriptions

来源：美国国家漏洞数据库 NVD

漏洞描述信息

Mercurius is a GraphQL adapter for Fastify. Any users of Mercurius until version 10.5.0 are subjected to a denial of service attack by sending a malformed packet over WebSocket to `/graphql`. This issue was patched in #940. As a workaround, users can disable subscriptions.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

来源：美国国家漏洞数据库 NVD

漏洞类别

未捕获的异常

来源：美国国家漏洞数据库 NVD

漏洞标题

Mercurius 安全漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

Mercurius是GraphQL适配器Fastify 。 Mercurius 10.5.0之前版本存在安全漏洞，该漏洞源于任何用户通过WebSocket向“/graphql”发送格式错误的数据包，都会遭受拒绝服务攻击。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

其他

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2023-22477 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2023-22477 的情报信息

https://github.com/mercurius-js/mercurius/pull/940 x_refsource_MISC
https://github.com/mercurius-js/mercurius/issues/939 x_refsource_MISC
https://github.com/mercurius-js/mercurius/security/advisories/GHSA-cm8h-q92v-xcfc x_refsource_CONFIRM
https://nvd.nist.gov/vuln/detail/CVE-2023-22477

一、 漏洞 CVE-2023-22477 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2023-22477 的公开POC

三、漏洞 CVE-2023-22477 的情报信息

一、漏洞 CVE-2023-22477 基础信息