发布日期：2025-03-12
更新日期：2025-05-26

受影响系统：

graphql-ruby graphql-ruby 2.3.21
graphql-ruby graphql-ruby 2.2.17
graphql-ruby graphql-ruby 2.1.14
graphql-ruby graphql-ruby 2.0.32
graphql-ruby graphql-ruby 1.13.24
graphql-ruby graphql-ruby 1.12.25
graphql-ruby graphql-ruby 1.11.5 <= 1.11.8

描述：

---

CVE(CAN) ID: CVE-2025-27407

GraphQL是GraphQL开源的一个开源的，面向API而创造出来的数据查询操作语言以及相应的运行环境。
graphql-ruby多个版本存在代码注入漏洞，攻击者可利用该漏洞加载不受信来源的恶意架构定义并远程执行代码。

<**>

建议：

---

厂商补丁：

graphql-ruby
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://about.gitlab.com/releases/2025/03/12/patch-release-gitlab-17-9-2-released

浏览次数：97
严重程度：0（网友投票）