strawberry-graphql
Corrigé dans
0.312.4
0.312.3
La vulnérabilité CVE-2026-35523 affecte Strawberry GraphQL, une bibliothèque pour la création d'API GraphQL. Elle se manifeste par un contournement d'authentification sur les points de terminaison d'abonnement WebSocket, permettant à un attaquant de sauter l'étape d'authentification. Cette faille concerne les versions de Strawberry GraphQL comprises entre 0.0.0 et 0.312.3, et une correction est disponible dans la version 0.312.3.
Cette vulnérabilité permet à un attaquant non authentifié d'accéder aux abonnements WebSocket dans Strawberry GraphQL. En exploitant cette faille, un attaquant peut potentiellement lire ou modifier des données auxquelles il ne devrait pas avoir accès, compromettant ainsi la confidentialité et l'intégrité du système. L'absence de vérification de l'authentification avant le traitement des messages d'abonnement ouvre une porte dérobée significative, permettant une exécution non autorisée de requêtes GraphQL. L'impact est amplifié si les abonnements sont utilisés pour des opérations critiques ou sensibles.
Cette vulnérabilité a été rendue publique le 2026-04-07. Il n'y a pas d'indication d'une exploitation active à ce jour, mais la simplicité de l'exploitation potentielle pourrait en faire une cible pour les attaquants. La vulnérabilité n'est pas répertoriée sur le KEV de CISA au moment de la rédaction. Des preuves de concept publiques sont susceptibles d'émerger, augmentant le risque d'exploitation.
Applications utilizing Strawberry GraphQL for building GraphQL APIs, particularly those relying on WebSocket subscriptions for real-time data updates, are at risk. Systems with legacy graphql-ws subprotocol enabled are especially vulnerable. Developers who have not recently updated their Strawberry GraphQL dependencies should prioritize patching.
• python / server:
import websocket
ws = websocket.WebSocket()
ws.connect('ws://your-graphql-endpoint')
ws.send('{"id":"1","type":"subscription","payload":{"query":"subscription MySubscription { ... }","variables":{}}}
')
# If the connection proceeds without handshake verification, the system is vulnerable.disclosure
Statut de l'Exploit
EPSS
0.13% (percentile 32%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à niveau Strawberry GraphQL vers la version 0.312.3 ou supérieure, qui corrige cette vulnérabilité. Si la mise à niveau n'est pas immédiatement possible, une solution temporaire consiste à désactiver le support du protocole graphql-ws jusqu'à ce que la mise à niveau puisse être effectuée. Il est également recommandé de renforcer les contrôles d'authentification WebSocket, en s'assurant que chaque connexion est correctement authentifiée avant de permettre l'accès aux abonnements. Après la mise à niveau, vérifiez que l'authentification WebSocket fonctionne correctement en tentant de vous connecter sans authentification et en vous assurant que l'accès est refusé.
Mettez à jour Strawberry GraphQL à la version 0.312.3 ou supérieure pour atténuer la vulnérabilité de contournement d'authentification sur les points de terminaison d'abonnement WebSocket. Assurez-vous de consulter la documentation de Strawberry GraphQL pour obtenir des instructions de mise à jour spécifiques et d'éventuels changements de configuration.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-35523 is a HIGH severity vulnerability in Strawberry GraphQL versions 0.0.0 through 0.312.2 that allows attackers to bypass authentication on WebSocket subscription endpoints.
If you are using Strawberry GraphQL versions 0.0.0 through 0.312.2, you are potentially affected by this vulnerability. Upgrade to 0.312.3 or later to mitigate the risk.
The recommended fix is to upgrade Strawberry GraphQL to version 0.312.3 or later. As a temporary workaround, implement rigorous handshake validation in your application logic.
As of the current disclosure date, there are no confirmed reports of active exploitation of CVE-2026-35523.
Refer to the official Strawberry GraphQL documentation and security advisories for the latest information and updates regarding CVE-2026-35523.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.