1、组件介绍

Hasura GraphQL Engine是一种快速的GraphQL服务器，通过Postgres提供即时、实时的GraphQL API。

2、漏洞描述

2021年4月27日，深信服安全团队监测到一则Hasura GraphQL组件存在 Hasura GraphQL 1.3.3远程代码执行漏洞的信息，漏洞威胁等级：高危。

攻击者可利用该漏洞在未授权的情况下，构造恶意数据进行远程代码执行攻击，最终获取服务器最高权限。

1、修复建议

当前Hasura GraphQL最新版本为1.3.3，暂未发布更新版本。相关用户请持续关注Hasura GraphQL的更新。

链接如下：https://github.com/hasura/graphql-engine

2、深信服解决方案

【深信服下一代防火墙】可防御此漏洞， 建议用户将深信服下一代防火墙开启 IPS 防护策略，并更新最新安全防护规则，即可轻松抵御此高危风险。

【深信服安全感知平台】结合云端实时热点高危/紧急漏洞信息，可快速检出业务场景下的该漏洞，并可联动【深信服下一代防火墙等产品】实现对攻击者IP的封堵。

【深信服安全云眼】在漏洞爆发之初，已完成检测更新，对所有用户网站探测，保障用户安全。不清楚自身业务是否存在漏洞的用户，可注册信服云眼账号，获取30天免费安全体验。

注册地址：http://saas.sangfor.com.cn

【深信服云镜】在漏洞爆发第一时间即完成检测能力的发布，部署了云镜的用户可以通过升级来快速检测网络中是否受该高危风险影响，避免被攻击者利用。离线使用云镜的用户需要下载离线更新包来获得漏洞检测能力，可以连接云端升级的用户可自动获得漏洞检测能力。