strawberry-graphql
में ठीक किया गया
0.312.4
0.312.3
Strawberry GraphQL एक लाइब्रेरी है जिसका उपयोग GraphQL API बनाने के लिए किया जाता है। Strawberry GraphQL के संस्करण 0.0.0 से 0.312.3 तक में एक प्रमाणीकरण बाईपास भेद्यता मौजूद है, जो WebSocket सदस्यता एंडपॉइंट पर पाई गई है। यह भेद्यता 7 अप्रैल, 2026 को प्रकाशित हुई थी और इसे Strawberry GraphQL 0.312.3 में ठीक कर दिया गया है।
यह भेद्यता हमलावरों को Strawberry GraphQL सदस्यता एंडपॉइंट पर प्रमाणीकरण को पूरी तरह से दरकिनार करने की अनुमति देती है। हमलावर graphql-ws सबप्रोटोकॉल का उपयोग करके कनेक्ट कर सकते हैं और connection_init हैंडशेक को पूरा किए बिना सीधे start संदेश भेज सकते हैं। यह प्रमाणीकरण हुक को बायपास करता है, जिससे हमलावर बिना किसी प्राधिकरण के संवेदनशील डेटा तक पहुंच सकता है या अनधिकृत क्रियाएं कर सकता है। इस भेद्यता का उपयोग सदस्यता-आधारित GraphQL API को लक्षित करने वाले अनुप्रयोगों पर हमला करने के लिए किया जा सकता है, जिससे डेटा उल्लंघन या सेवा में व्यवधान हो सकता है।
CVE-2026-35523 को अभी तक CISA KEV सूची में शामिल नहीं किया गया है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है। इस भेद्यता की गंभीरता को CVSS स्कोर 7.5 (HIGH) के रूप में मूल्यांकित किया गया है, जो संभावित जोखिम को दर्शाता है। 7 अप्रैल, 2026 को CVE प्रकाशित किया गया था।
Applications utilizing Strawberry GraphQL for building GraphQL APIs, particularly those relying on WebSocket subscriptions for real-time data updates, are at risk. Systems with legacy graphql-ws subprotocol enabled are especially vulnerable. Developers who have not recently updated their Strawberry GraphQL dependencies should prioritize patching.
• python / server:
import websocket
ws = websocket.WebSocket()
ws.connect('ws://your-graphql-endpoint')
ws.send('{"id":"1","type":"subscription","payload":{"query":"subscription MySubscription { ... }","variables":{}}}
')
# If the connection proceeds without handshake verification, the system is vulnerable.disclosure
एक्सप्लॉइट स्थिति
EPSS
0.13% (32% शतमक)
CISA SSVC
CVSS वेक्टर
Strawberry GraphQL के संस्करण 0.312.3 में अपग्रेड करना इस भेद्यता को ठीक करने का प्राथमिक तरीका है। यदि अपग्रेड तत्काल संभव नहीं है, तो graphql-ws सबप्रोटोकॉल का उपयोग करने वाले कनेक्शन के लिए प्रमाणीकरण हुक को लागू करने पर विचार करें। यह सुनिश्चित करें कि सभी कनेक्शन connection_init हैंडशेक को सफलतापूर्वक पूरा करते हैं, इससे पहले कि सदस्यता संदेशों को संसाधित किया जाए। वेब एप्लिकेशन फ़ायरवॉल (WAF) नियमों को लागू करने से भी मदद मिल सकती है जो graphql-ws सबप्रोटोकॉल का उपयोग करके आने वाले अनुरोधों को फ़िल्टर करते हैं। Strawberry GraphQL के नवीनतम संस्करण में अपग्रेड करने के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, सदस्यता एंडपॉइंट पर प्रमाणीकरण को फिर से जांचें।
WebSocket सदस्यता endpoints पर प्रमाणीकरण बाईपास भेद्यता को कम करने के लिए Strawberry GraphQL को संस्करण 0.312.3 या उच्चतर में अपडेट करें। विशिष्ट अपडेट निर्देशों और संभावित कॉन्फ़िगरेशन परिवर्तनों के लिए Strawberry GraphQL के दस्तावेज़ की समीक्षा करना सुनिश्चित करें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-35523 Strawberry GraphQL में एक प्रमाणीकरण बाईपास भेद्यता है जो हमलावरों को सदस्यता एंडपॉइंट पर प्रमाणीकरण को दरकिनार करने की अनुमति देती है।
यदि आप Strawberry GraphQL के संस्करण 0.0.0 से 0.312.3 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
Strawberry GraphQL के संस्करण 0.312.3 में अपग्रेड करें। यदि अपग्रेड तत्काल संभव नहीं है, तो graphql-ws सबप्रोटोकॉल का उपयोग करने वाले कनेक्शन के लिए प्रमाणीकरण हुक को लागू करें।
हालांकि सार्वजनिक PoC अभी तक ज्ञात नहीं हैं, भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है।
Strawberry GraphQL टीम की आधिकारिक वेबसाइट या GitHub रिपॉजिटरी पर Strawberry GraphQL के लिए CVE-2026-35523 के लिए आधिकारिक सलाहकार खोजें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।