Mercurius <11.5.0 存在拒绝服务漏洞(CVE-2023-22477)

简介: Mercurius <11.5.0 存在拒绝服务漏洞(CVE-2023-22477)

漏洞描述


Mercurius 是NPM仓库中的开源组件,用作于 Fastify Web 框架的 GraphQL 适配器。


11.5.0 之前版本的 Mercurius 开启“订阅”功能时,任何 Mercurius 用户都可以通过 WebSocket 向 /graphql 端点(如:ws://127.0.0.1:1337/graphql)发送格式错误的数据包,从而造成 Mercurius 拒绝服务。


Mercurius 用户可禁用订阅功能缓解此漏洞。


该漏洞已存在 POC 。

漏洞名称 Mercurius <11.5.0 存在拒绝服务漏洞
漏洞类型 未捕获的异常
漏洞影响广度 一般
MPS编号 MPS-2022-70041
CVE编号 CVE-2023-22477
CNVD编号 -


影响范围


mercurius@[0.0.1, 11.5.0)


修复方案


升级org.http4s:http4s-core到 0.21.34 或 0.22.15 或 0.23.17 或 1.0.0-M38 或更高版本


参考链接


https://www.oscs1024.com/hd/MPS-2022-70041

https://github.com/mercurius-js/mercurius/security/advisories/GHSA-cm8h-q92v-xcfc

https://github.com/mercurius-js/mercurius/issues/939

https://github.com/mercurius-js/mercurius/pull/940/commits


关于墨菲安全


墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周期的安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。为客户提供从供应链资产识别管理、风险检测、安全控制、一键修复的完整控制能力。同时产品可以极低成本的和现有开发流程中的各种工具一键打通,包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。


官网地址:https://www.murphysec.com/

开源地址:https://github.com/murphysecurity/murphysec

1.png

相关文章
|
分布式计算 安全 调度
PowerJob未授权访问漏洞(CVE-2023-29922)
PowerJob是一个开源分布式计算和作业调度框架,它允许开发人员在自己的应用程序中轻松调度任务。PowerJob V4.3.1版本存在安全漏洞,该漏洞源于存在不正确访问控制。
985 1
PowerJob未授权访问漏洞(CVE-2023-29922)
|
4月前
|
安全 关系型数据库 Linux
高危漏洞CVE-2024-38077的修复指南
根据2024年8月9日,国家信息安全漏洞共享平台(CNVD)收录了Windows远程桌面许可服务远程代码执行漏洞(CNVD-2024-34918,对应CVE-2024-38077)。未经身份认证的攻击者可利用漏洞远程执行代码,获取服务器控制权限。目前,该漏洞的部分技术原理和概念验证伪代码已公开,厂商已发布安全更新完成修复。CNVD建议受影响的单位和用户安全即刻升级到最新版本。
|
6月前
|
监控 安全 测试技术
CVE-2022-37434漏洞如何处理
【6月更文挑战第18天】CVE-2022-37434漏洞如何处理
637 0
|
安全 Ubuntu Linux
CVE-2021-4034 pkexec提权漏洞
Linux Polkit 的 pkexec程序中发现了一个本地权限提升漏洞。pkexec应用程序是一个 setuid 工具,旨在允许非特权用户根据预定义的策略以特权用户身份运行命令。
331 1
|
SQL 安全 前端开发
CVE-2021-35042Django SQL注入漏洞复现
CVE-2021-35042Django SQL注入漏洞复现
205 0
CVE-2021-35042Django SQL注入漏洞复现
|
SQL 安全 前端开发
常见漏洞总结
常见漏洞总结
|
安全 Linux 网络安全
【网络安全】复现CVE-2019-14287漏洞
Sudo的全称是"superuserdo”,它是Linux系统管理指令,允许用户在不需要切换环境的前提下,以其它用户的权限运行应用程序或命令,通常是以root用户身份运行命令,以减少root用户的登录和管理时间,同时提高安全性,当在Linux操作系统上执行命令时,只有得到许可或者知道root密码,普通用户才可以使用sudo命令以root身份执行命令. 个人理解:(直白点讲就是,如果你入侵了他人的主机,可以利用该漏洞,进行权限升级,不用切换root,因为切换root的时候需要输入密码,用该漏洞可以跳过该步骤,获得权限)
213 0
【网络安全】复现CVE-2019-14287漏洞
|
编解码 安全 NoSQL
SSRE漏洞
服务器端请求伪造:是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。
SSRE漏洞
|
安全 网络安全
CVE-2021-40116|CVE-2021-34783等——Cicso多个安全漏洞
CVE-2021-40116|CVE-2021-34783等——Cicso多个安全漏洞
367 0
CVE-2021-40116|CVE-2021-34783等——Cicso多个安全漏洞
|
移动开发 缓存 监控
理解缓冲区溢出漏洞的利用
在我第一次不得不处理缓冲区溢出漏洞时,我真是一窍不通啊!虽然我可以建立网络和配置防火墙、代理服务器,不费吹灰之力的入侵检测系统,但是对于利用代码来说,我还是第一次接触到。然而,正如处理任何复杂或是困难的概念一样,最好的办法就是把它分解成我们了解的多个部分。
379 0