Platform
nodejs
Component
saleor
Opgelost in
2.0.1
3.21.1
3.22.1
3.23.1
CVE-2026-35401 beschrijft een kwetsbaarheid in Saleor, een e-commerce platform. Deze kwetsbaarheid stelt een kwaadwillende actor in staat om resource-uitputting te veroorzaken door meerdere GraphQL-mutaties of queries in één API-aanroep te includeren, met behulp van aliassen of het keten van mutaties. De kwetsbaarheid treft Saleor versies van 2.0.0 tot en met < 3.23.0a3, inclusief 3.22.47, 3.21.54 en 3.20.118. Een fix is beschikbaar in versies 3.23.0a3, 3.22.47, 3.21.54 en 3.20.118.
Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot een Denial of Service (DoS) aanval op de Saleor-applicatie. Door een overmatige hoeveelheid GraphQL-aanvragen te versturen, kan de server overbelast raken, waardoor legitieme gebruikers geen toegang meer hebben tot de e-commerce platform. Dit kan resulteren in verlies van omzet, reputatieschade en verstoring van de bedrijfsvoering. De impact is vooral groot tijdens piekuren of promotieperiodes, wanneer de server al zwaar belast is. Het misbruik van deze kwetsbaarheid kan ook leiden tot een verlies van data als de server crasht en data niet correct wordt opgeslagen.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er is momenteel geen informatie over actieve campagnes die deze specifieke kwetsbaarheid uitbuiten, maar het is waarschijnlijk dat aanvallers deze zullen onderzoeken. De publicatie datum van de CVE is 2026-04-08. De kwetsbaarheid heeft een CVSS score van 7.5 (HIGH), wat aangeeft dat het een aanzienlijk risico vormt.
E-commerce businesses utilizing Saleor versions 2.0.0 through 3.23.0-a.0 (excluding patched versions) are at risk. This includes organizations running Saleor in production environments, particularly those with publicly accessible GraphQL endpoints. Shared hosting environments where multiple Saleor instances share resources are also at increased risk, as an attack on one instance could impact others.
• nodejs / server:
ps aux | grep saleor• nodejs / server:
journalctl -u saleor -f | grep "GraphQL query exceeded"• generic web: Use a web proxy or browser developer tools to inspect GraphQL requests. Look for unusually long or complex queries with many aliases or chained mutations.
disclosure
Exploit Status
EPSS
0.05% (16% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van Saleor naar een versie die de kwetsbaarheid verhelpt: 3.23.0a3, 3.22.47, 3.21.54 of 3.20.118. Als een directe upgrade niet mogelijk is, overweeg dan het implementeren van rate limiting op de GraphQL API om het aantal aanvragen per gebruiker of IP-adres te beperken. Een Web Application Firewall (WAF) kan worden geconfigureerd om verdachte GraphQL-aanvragen te blokkeren. Controleer de Saleor-configuratie op onnodige of overbodige GraphQL-endpoints die kunnen worden uitgeschakeld. Na de upgrade, verifieer de fix door een geautomatiseerde test uit te voeren die probeert de kwetsbaarheid te reproduceren.
Werk Saleor bij naar versie 3.23.0a3, 3.22.47, 3.21.54 of 3.20.118 om de resource exhaustion kwetsbaarheid in GraphQL queries te mitigeren. Deze update beperkt de hoeveelheid resources die door GraphQL queries worden verbruikt, waardoor denial-of-service aanvallen worden voorkomen. Raadpleeg de release notes voor gedetailleerde instructies over het bijwerken.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-35401 is a high-severity vulnerability in Saleor allowing attackers to exhaust server resources through crafted GraphQL queries, potentially leading to denial of service.
You are affected if you are running Saleor versions 2.0.0–>= 3.23.0-a.0, < 3.23.0a3. Check your version and upgrade immediately.
Upgrade Saleor to version 3.23.0a3, 3.22.47, 3.21.54, or 3.20.118. Consider rate limiting and WAF rules as temporary mitigations.
No active exploitation has been confirmed at this time, but the vulnerability's ease of exploitation warrants prompt remediation.
Refer to the Saleor security advisories on their official website or GitHub repository for the latest information and updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.