製品・ソフトウェアに関する情報

JVN脆弱性詳細

サービス拒否（DoS）を引き起こすApollo Routerの展開後ペイロードサイズ制限不備の脆弱性

Title	サービス拒否（DoS）を引き起こすApollo Routerの展開後ペイロードサイズ制限不備の脆弱性
Summary	Apollo Routerは、Apollo Federationを使用してフェデレーテッド・スーパーグラフを実行するためにRustで書かれたグラフルーターです。バージョン0.9.5から1.40.2までの間にサービス拒否（DoS）型の脆弱性が存在します。圧縮されたHTTPペイロードを受信した場合、該当するRouterのバージョンでは、圧縮されたペイロード全体を展開した後で「limits.http_max_request_bytes」構成オプションを評価します。そのため、高度に圧縮されたペイロードを受信すると、展開時に大量のメモリを消費する可能性があります。この脆弱性はバージョン1.40.2で修正されています。アップグレードが難しい場合は、Router群の前段にあるプロキシやロードバランサ（例：Nginx、HAProxy、クラウドネイティブWAFサービス）でHTTPボディのアップロードサイズを制限設定することで、対策を講じることができます。
Possible impacts	当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。また、当該ソフトウェアが扱う情報について、書き換えは発生しません。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	March 21, 2024, midnight
Registration Date	Jan. 6, 2026, 2:45 p.m.
Last Update	Jan. 6, 2026, 2:45 p.m.

CVSS3.0 : 重要
Score	7.5
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Affected System

apollographql

apollo router 0.9.5 以上 1.40.2 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2024-28101	https://www.cve.org/CVERecord?id=CVE-2024-28101
National Vulnerability Database (NVD)
2	CVE-2024-28101	https://nvd.nist.gov/vuln/detail/CVE-2024-28101

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-409	https://cwe.mitre.org/data/definitions/409.html

ベンダー情報

No	Name	URL
GitHub Advisory Database
1	Compressed Payloads do not respect HTTP Payload Limits Advisory apollographql/router GitHub	https://github.com/apollographql/router/security/advisories/GHSA-cgqf-3cq5-wvcj

その他

No	Name	URL
関連文書
1	streaming body decompression apollographql/router@9e9527c GitHub	https://github.com/apollographql/router/commit/9e9527c73c8f34fc8438b09066163cd42520f413

Change Log

No	Changed Details	Date of change
1	[2026年01月06日] 掲載	Jan. 6, 2026, 2:45 p.m.

NVD Vulnerability Information

CVE-2024-28101

Summary	The Apollo Router is a graph router written in Rust to run a federated supergraph that uses Apollo Federation. Versions 0.9.5 until 1.40.2 are subject to a Denial-of-Service (DoS) type vulnerability. When receiving compressed HTTP payloads, affected versions of the Router evaluate the `limits.http_max_request_bytes` configuration option after the entirety of the compressed payload is decompressed. If affected versions of the Router receive highly compressed payloads, this could result in significant memory consumption while the compressed payload is expanded. Router version 1.40.2 has a fix for the vulnerability. Those who are unable to upgrade may be able to implement mitigations at proxies or load balancers positioned in front of their Router fleet (e.g. Nginx, HAProxy, or cloud-native WAF services) by creating limits on HTTP body upload size.
Publication Date	March 21, 2024, 11:52 a.m.
Registration Date	March 21, 2024, 4 p.m.
Last Update	Nov. 21, 2024, 6:05 p.m.

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/apollographql/router/commit/9e9527c73c8f34fc8438b09066163cd42520f413
2	https://github.com/apollographql/router/commit/9e9527c73c8f34fc8438b09066163cd42520f413
3	https://github.com/apollographql/router/security/advisories/GHSA-cgqf-3cq5-wvcj
4	https://github.com/apollographql/router/security/advisories/GHSA-cgqf-3cq5-wvcj

Common Vulnerabilities List