MITのMaxwell氏によると、GraphQLエンドポイントは不適切なアクセス制限により、ユーザー認証情報に関連する機密フィールドを意図せず公開してしまうとのことです。
この脆弱性は、GraphQLエンドポイントが誤ってプライベートなGraphQLフィールドデータを公開し、管理者アカウントからの不正アクセスも許可してしまったことで発見されました。
プライベートGraphQLフィールドの偶発的な公開 from infosecwriteups.com
security summaryMITのMaxwell氏によると、GraphQLエンドポイントは不適切なアクセス制限により、ユーザー認証情報に関連する機密フィールドを意図せず公開してしまうとのことです。
この脆弱性は、GraphQLエンドポイントが誤ってプライベートなGraphQLフィールドデータを公開し、管理者アカウントからの不正アクセスも許可してしまったことで発見されました。
コメント