プラットフォーム
nodejs
コンポーネント
saleor
修正版
2.0.1
3.21.1
3.22.1
3.23.1
Saleorはeコマースプラットフォームです。バージョン2.0.0から3.23.0a3の範囲において、GraphQLクエリのバッチ処理機能において、HTTPリクエスト内にJSON配列として複数の操作を送信できるものの、操作数に対する上限が設定されていませんでした。これにより、認証されていない攻撃者が、クエリごとの複雑さ制限を回避し、リソースを枯渇させるために、単一のHTTPリクエストで多数の操作を送信することが可能になります。この脆弱性はバージョン3.23.0a3、3.22.47、3.21.54、および3.20.118で修正されています。
The core of this vulnerability lies in Saleor's GraphQL query batching implementation. While intended to improve performance by allowing multiple queries in a single request, the system lacked proper limits on the number of operations. An attacker can craft a malicious HTTP request containing a large array of GraphQL operations, effectively bypassing the per-query complexity limits. This can lead to excessive CPU usage, memory exhaustion, and ultimately, a denial of service, rendering the e-commerce platform unavailable to legitimate users. The lack of authentication means any external user can trigger this vulnerability, significantly expanding the potential attack surface. The impact is particularly severe for businesses relying on Saleor for online sales and customer interactions, as a successful attack could result in lost revenue and reputational damage.
This vulnerability was publicly disclosed on 2026-04-08. Currently, there is no indication of active exploitation campaigns targeting CVE-2026-33756. The vulnerability is not listed on CISA KEV as of this writing. While a public proof-of-concept is not yet available, the ease of exploitation (unauthenticated, simple HTTP request) suggests a high likelihood of a PoC being developed and potentially leveraged in attacks.
E-commerce businesses utilizing Saleor, particularly those running vulnerable versions (2.0.0–>= 3.23.0-a.0, < 3.23.0a3) in production environments. Shared hosting environments where Saleor instances share resources are at heightened risk, as an attack on one instance could impact others.
• nodejs / server:
# Monitor Saleor server resource usage (CPU, memory)
# Use tools like top, htop, or Prometheus• generic web:
# Check access logs for unusually large GraphQL requests
# grep -i 'graphql' /var/log/nginx/access.log | grep -i 'batching'disclosure
エクスプロイト状況
EPSS
0.11% (29% パーセンタイル)
CISA SSVC
The primary mitigation for CVE-2026-33756 is to upgrade to a patched version of Saleor. Versions 3.23.0a3, 3.22.47, 3.21.54, and 3.20.118 contain the necessary fixes to limit the number of operations in GraphQL batch requests. If an immediate upgrade is not feasible, consider implementing a Web Application Firewall (WAF) or reverse proxy with rules to limit the size and complexity of incoming GraphQL requests. Specifically, look for rules that restrict the number of operations within a single request. Additionally, monitor Saleor server resources (CPU, memory) for unusual spikes, which could indicate an ongoing attack. After upgrading, confirm the fix by sending a large batch of GraphQL queries and verifying that the server handles them without resource exhaustion.
Actualice a la versión 3.23.0a3, 3.22.47, 3.21.54 o 3.20.118 para mitigar la vulnerabilidad. Estas versiones incluyen una limitación en el número de operaciones permitidas en las consultas GraphQL por lotes, previniendo el agotamiento de recursos.
脆弱性分析と重要アラートをメールでお届けします。
これはSaleorのGraphQLクエリバッチング機能におけるサービス拒否(DoS)攻撃の脆弱性です。攻撃者は多数のクエリを送信することで、サーバーのリソースを枯渇させ、サービスを停止させることが可能です。
Saleorのバージョンが2.0.0から3.23.0a3の範囲内である場合、この脆弱性の影響を受ける可能性があります。バージョン3.23.0a3より前のバージョンを使用している場合は、影響を受ける可能性があります。
Saleorをバージョン3.23.0a3、3.22.47、3.21.54、または3.20.118にアップデートしてください。これにより、このDoS攻撃の脆弱性が修正されます。
CVSS ベクトル