Strawberry GraphQL は、無制限の WebSocket サブスクリプションによるサービス拒否 (Denial of Service) に影響を受けます

この脆弱性を悪用されると、攻撃者は Strawberry GraphQL API を利用するアプリケーションに対して Denial of Service (DoS) 攻撃を実行できます。攻撃者は WebSocket 接続を確立し、大量の subscribe メッセージを送信することで、サーバーのリソース（CPU、メモリ、スレッドなど）を枯渇させ、正当なユーザーのリクエストを処理できなくする可能性があります。攻撃の成功は、サーバーのハードウェア構成、ネットワーク帯域幅、およびアプリケーションの負荷によって異なります。この攻撃は、特にリソースが限られた環境や、高負荷な状況下で運用されているアプリケーションにとって深刻な影響を与える可能性があります。類似の攻撃手法は、他の WebSocket 実装でも報告されており、この脆弱性は、WebSocket プロトコル自体の設計上の問題を示唆している可能性もあります。

Applications utilizing Strawberry GraphQL for building GraphQL APIs, particularly those exposed to untrusted networks or lacking robust authentication mechanisms, are at risk. Shared hosting environments where multiple applications share the same server resources are especially vulnerable, as a single attacker could impact all hosted applications.

• python / server:

import asyncio
import strawberry

# Check for Strawberry GraphQL version
import strawberry
print(strawberry.__version__)

# Monitor CPU and memory usage for unusual spikes during WebSocket connections
import psutil

while True:
    cpu_usage = psutil.cpu_percent(interval=1)
    memory_usage = psutil.virtual_memory().percent
    print(f'CPU Usage: {cpu_usage}%, Memory Usage: {memory_usage}%')
    asyncio.sleep(5)

1. 2026-04-07Disclosure

   disclosure

1. 予約済み2026-04-03
2. 公開日2026-04-07
3. 更新日2026-04-08
4. EPSS 更新日2026-04-15

Strawberry GraphQL 0.312.3 へのアップデートが推奨されます。アップデートがすぐに利用できない場合は、WebSocket 接続あたりのサブスクリプション数を制限するカスタムのレート制限メカニズムを実装することを検討してください。また、WAF (Web Application Firewall) を使用して、異常な量の subscribe メッセージを送信する接続をブロックすることも有効です。さらに、WebSocket サーバーのハードウェアリソースを監視し、リソース使用率が異常に高くなっている場合は、手動で接続を遮断することを検討してください。アップデート後、Strawberry GraphQL API が正常に動作することを確認し、DoS 攻撃に対する耐性をテストしてください。