strawberry-graphql
Opgelost in
0.312.4
0.312.3
CVE-2026-35523 beschrijft een authenticatie bypass kwetsbaarheid in Strawberry GraphQL, een bibliotheek voor het bouwen van GraphQL API's. Deze kwetsbaarheid stelt een aanvaller in staat om de authenticatie te omzeilen op WebSocket subscription endpoints, wat potentieel leidt tot ongeautoriseerde toegang tot gevoelige data. De kwetsbaarheid treft versies van Strawberry GraphQL van 0.0.0 tot en met 0.312.3. Een fix is beschikbaar in versie 0.312.3.
Een succesvolle exploitatie van deze kwetsbaarheid kan een aanvaller ongeautoriseerde toegang verlenen tot de GraphQL API via WebSocket subscriptions. Omdat de connectioninit handshake niet wordt geverifieerd, kan een aanvaller de onws_connect authenticatie hook volledig overslaan door de graphql-ws subprotocol te gebruiken en direct een start bericht te verzenden. Dit kan leiden tot het uitlezen van gevoelige data, het wijzigen van data, of zelfs het uitvoeren van willekeurige code, afhankelijk van de configuratie van de GraphQL API. De impact is vergelijkbaar met het omzeilen van authenticatie in andere real-time communicatie systemen, waarbij een aanvaller zich kan voordoen als een geautoriseerde gebruiker.
Deze kwetsbaarheid werd publiekelijk bekendgemaakt op 2026-04-07. Er is momenteel geen informatie beschikbaar over actieve exploits in de wildernis. Er zijn geen publieke proof-of-concept exploits bekend. De kwetsbaarheid is niet opgenomen in de CISA KEV catalogus (KEV). De NVD datum is 2026-04-07.
Applications utilizing Strawberry GraphQL for building GraphQL APIs, particularly those relying on WebSocket subscriptions for real-time data updates, are at risk. Systems with legacy graphql-ws subprotocol enabled are especially vulnerable. Developers who have not recently updated their Strawberry GraphQL dependencies should prioritize patching.
• python / server:
import websocket
ws = websocket.WebSocket()
ws.connect('ws://your-graphql-endpoint')
ws.send('{"id":"1","type":"subscription","payload":{"query":"subscription MySubscription { ... }","variables":{}}}
')
# If the connection proceeds without handshake verification, the system is vulnerable.disclosure
Exploit Status
EPSS
0.13% (32% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar Strawberry GraphQL versie 0.312.3 of hoger, waarin de kwetsbaarheid is verholpen. Indien een upgrade direct problemen veroorzaakt, overweeg dan het terugdraaien naar een eerdere, veilige versie (indien beschikbaar). Als een directe upgrade niet mogelijk is, kan het implementeren van een Web Application Firewall (WAF) helpen om verdachte WebSocket verbindingen te blokkeren. Configureer de WAF om verbindingen die de graphql-ws subprotocol gebruiken zonder een correcte connection_init handshake te detecteren en te blokkeren. Controleer ook de configuratie van de GraphQL API om ervoor te zorgen dat de authenticatie logica correct is geïmplementeerd en dat er geen andere potentiële bypasses bestaan.
Werk Strawberry GraphQL bij naar versie 0.312.3 of hoger om de authenticatie bypass kwetsbaarheid in WebSocket subscription endpoints te mitigeren. Zorg ervoor dat u de documentatie van Strawberry GraphQL raadpleegt voor specifieke update-instructies en mogelijke configuratiewijzigingen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-35523 is a HIGH severity vulnerability in Strawberry GraphQL versions 0.0.0 through 0.312.2 that allows attackers to bypass authentication on WebSocket subscription endpoints.
If you are using Strawberry GraphQL versions 0.0.0 through 0.312.2, you are potentially affected by this vulnerability. Upgrade to 0.312.3 or later to mitigate the risk.
The recommended fix is to upgrade Strawberry GraphQL to version 0.312.3 or later. As a temporary workaround, implement rigorous handshake validation in your application logic.
As of the current disclosure date, there are no confirmed reports of active exploitation of CVE-2026-35523.
Refer to the official Strawberry GraphQL documentation and security advisories for the latest information and updates regarding CVE-2026-35523.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.