CVE-2026-35523

この認証バイパス脆弱性を悪用されると、攻撃者はWebSocketサブスクリプションエンドポイントへのアクセスを不正に取得し、認証を回避して機密データにアクセスしたり、不正な操作を実行したりする可能性があります。特に、サブスクリプション機能を利用しているアプリケーションでは、重大なセキュリティリスクをもたらす可能性があります。攻撃者は、認証を迂回して、システム内の他のコンポーネントにアクセスし、さらなる攻撃を仕掛ける可能性があります。この脆弱性は、GraphQL APIのセキュリティを損ない、データ漏洩やサービス妨害につながる可能性があります。

Applications utilizing Strawberry GraphQL for building GraphQL APIs, particularly those relying on WebSocket subscriptions for real-time data updates, are at risk. Systems with legacy graphql-ws subprotocol enabled are especially vulnerable. Developers who have not recently updated their Strawberry GraphQL dependencies should prioritize patching.

• python / server:

import websocket

ws = websocket.WebSocket()
ws.connect('ws://your-graphql-endpoint')
ws.send('{"id":"1","type":"subscription","payload":{"query":"subscription MySubscription { ... }","variables":{}}}
')

# If the connection proceeds without handshake verification, the system is vulnerable.

1. 2026-04-07Disclosure

   disclosure

1. 予約済み2026-04-03
2. 公開日2026-04-07
3. 更新日2026-04-09
4. EPSS 更新日2026-04-15

Strawberry GraphQLのバージョンを0.312.3以降にアップグレードすることが最も効果的な対策です。アップグレードが困難な場合は、WebSocket接続の認証プロセスを強化し、接続_initハンドシェイクの完了を厳密に検証するカスタムの認証ロジックを実装することを検討してください。また、WAF（Web Application Firewall）を使用して、不正なWebSocket接続をブロックすることも有効です。WebSocketプロトコルハンドリングのセキュリティ設定を強化し、不要なサブスクリプション機能を無効化することも推奨されます。