Apollo Server 安全更新：默认配置存在拒绝服务攻击漏洞 (CVE-2026-23897)

Apollo GraphQL 官方发布安全公告，其核心服务器包 `@apollo/server` 的默认配置存在一个高危漏洞。该漏洞编号为 CVE-2026-23897，影响 `@apollo/server/standalone` 模块中的 `startStandaloneServer` 函数。在默认配置下，攻击者可以通过构造特定的请求体，对服务器发起拒绝服务攻击，导致服务不可用。

此次安全更新通过将 `@apollo/server` 依赖从 5.2.0 版本升级至 5.5.0 版本来修复此漏洞。根据自动化依赖管理工具 Renovate 生成的合并请求，此次更新属于常规安全维护。漏洞的直接影响是使运行在易受攻击配置下的 Apollo GraphQL 服务器面临被恶意流量瘫痪的风险。

所有使用 `@apollo/server` 且版本低于 5.5.0 的项目，特别是那些使用了 `startStandaloneServer` 默认启动方式的项目，应立即评估并应用此更新。对于依赖 Apollo Server 作为后端 API 网关或 GraphQL 服务层的企业而言，此漏洞构成了直接的安全运营风险。虽然漏洞已被官方修补，但延迟升级可能导致系统暴露在潜在的 DoS 攻击之下，影响服务稳定性和可用性。