Core
Уязвимости
6
Эксплуатируемые
0
Макс. CVSS
7.5
Макс. EPSS
0.01024
Распределение по критичности
Критический
0
Высокий
2
Средний
4
Низкий
0
Затронутые диапазоны версий
2.2.0–2.3.52.6.0–2.7.103.2.0–3.2.53.3.8–3.3.154.0.0-alpha.1–4.0.224.0.0–4.0.22
Также сопоставлено как (исходные строки): core
Топ уязвимостей
CVE-2025-31485В API Platform Core существует уязвимость, связанная с кэшированием грантов GraphQL с разными объектами, что может привести к несанкционированному доступу к конфиденциальным данным. Для устранения уязвимости рекомендуется обновить API Platform Core до версии 4.0.22 или 3.4.17. Источники:
- [1] https://github.com/api-platform/core/security/advisories/GHSA-428q-q3vv-3fq3
- [2] https://github.com/api-platform/core/commit/7af65aad13037d7649348ee3dcd88e084ef771f8
- [3] https://github.com/api-platform/core/commit/cba3acfbd517763cf320167250c5bed6d569696a
- [4] https://github.com/api-platform/core/releases/tag/v3.4.17
CVE-2025-31481Платформа API Core представляет собой систему для создания REST и GraphQL API, управляемых гипермедиа. Использование специального типа узла Relay позволяет обойти настроенную безопасность операции. Эта уязвимость исправлена в версиях 4.0.22 и 3.4.17. Уязвимость позволяет злоумышленнику обойти проверки безопасности, используя поле node в корневом типе запроса GraphQL, что дает доступ к любому объекту без ограничений [1]. Это затрагивает всех, кто использует GraphQL с атрибутом безопасности. Проблема решена в версиях 4.0.22 и 3.4.17.
Источники:
- [1] https://github.com/api-platform/core/security/advisories/GHSA-cg3c-245w-728m
- [2] https://github.com/api-platform/core/commit/55712452b4f630978537bdb2a07dc958202336bb
- [3] https://github.com/api-platform/core/commit/60747cc8c2fb855798c923b5537888f8d0969568
- [4] https://github.com/api-platform/core/releases/tag/v3.4.17
CVE-2023-25575API Platform Core - это серверный компонент API Platform: гипермедийные и GraphQL API. Свойства ресурсов, защищенные с помощью опции `security` атрибута `ApiPlatform\Metadata\ApiProperty`, могут быть раскрыты неавторизованным пользователям. Проблема затрагивает большинство форматов сериализации, включая raw JSON, который включен по умолчанию при установке API Platform. Пользовательские форматы сериализации также могут быть затронуты. Проблема затрагивает только конечные точки коллекции, конечные точки элемента не затрагиваются. Формат JSON-LD не затрагивается этой проблемой. Результат правила безопасности выполняется только для первого элемента коллекции. Результат правила затем кэшируется и повторно используется для следующих элементов. Эта ошибка может привести к утечке данных неавторизованным пользователям, когда правило зависит от значения свойства элемента. Эта ошибка также может скрыть свойства, которые должны отображаться авторизованным пользователям. Эта проблема затрагивает ветки 2.7, 3.0 и 3.1. Пожалуйста, обновитесь до версий 2.7.10, 3.0.12 или 3.1.3. В качестве обходного пути замените `cache_key` массива контекста Serializer внутри пользовательского нормализатора, который работает с объектами, если используется опция security атрибута `ApiPlatform\Metadata\ApiProperty`.
CVE-2019-1000011API Platform версии с 2.2.0 по 2.3.5 содержит уязвимость неправильного контроля доступа в мутациях удаления GraphQL, что может привести к тому, что пользователь, авторизованный на удаление ресурса, может удалить любой ресурс. Эта атака, по-видимому, может быть использована, если пользователь авторизован. Эта уязвимость, по-видимому, была исправлена в версии 2.3.6.
CVE-2023-47639API Platform Core - это система для создания гипермедиа-ориентированных REST и GraphQL API. С 3.2.0 по 3.2.4 сообщения об исключениях, которые не являются HTTP-исключениями, видны в JSON-ответе об ошибке. Эта уязвимость исправлена в 3.2.5.
CVE-2025-23204API Platform Core — это система для создания гипермедийных REST и GraphQL API. Начиная с версии 3.3.8, проверка безопасности, которая вызывается после разрешителей GraphQl, всегда заменяется другой, поскольку в условии нет прерывания. Поскольку это возвращается к `security`, влияние оказывается только тогда, когда после разрешителя есть только безопасность и никакой внутри безопасности. Версия 3.3.15 содержит исправление для этой проблемы.