strawberry-graphql
Opgelost in
0.312.4
0.312.3
Deze kwetsbaarheid in Strawberry GraphQL, een bibliotheek voor het bouwen van GraphQL API's, stelt aanvallers in staat om een Denial of Service (DoS) aan te vallen. Door het onbeperkt starten van asyncio taken via WebSocket subscriptions, kan de server overbelast raken en niet meer reageren. De kwetsbaarheid treft versies van Strawberry GraphQL van 0.0.0 tot en met 0.312.2. Een update naar versie 0.312.3 is vereist om de kwetsbaarheid te verhelpen.
Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot een Denial of Service (DoS) aanval, waarbij de GraphQL API onbereikbaar wordt voor legitieme gebruikers. De aanval maakt gebruik van de WebSocket subscription functionaliteit, waarbij een aanvaller een groot aantal subscriptions kan starten met unieke ID's. Elke subscription start een nieuwe asyncio task, en zonder limiet kan dit leiden tot een uitputting van de server resources, zoals CPU, geheugen en netwerkbandbreedte. Dit kan resulteren in een complete uitval van de API en impact hebben op alle afhankelijke diensten. De impact is vergelijkbaar met andere DoS aanvallen die gericht zijn op het overbelasten van server resources.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2026-04-07. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de beschrijving van de kwetsbaarheid maakt het relatief eenvoudig om een dergelijke exploit te ontwikkelen. De KEV score is nog niet bepaald, maar de mogelijkheid om een DoS aanval uit te voeren zonder authenticatie suggereert een potentieel medium risico. Er zijn geen meldingen van actieve campagnes bekend.
Applications utilizing Strawberry GraphQL for building GraphQL APIs, particularly those exposed to untrusted networks or lacking robust authentication mechanisms, are at risk. Shared hosting environments where multiple applications share the same server resources are especially vulnerable, as a single attacker could impact all hosted applications.
• python / server:
import asyncio
import strawberry
# Check for Strawberry GraphQL version
import strawberry
print(strawberry.__version__)
# Monitor CPU and memory usage for unusual spikes during WebSocket connections
import psutil
while True:
cpu_usage = psutil.cpu_percent(interval=1)
memory_usage = psutil.virtual_memory().percent
print(f'CPU Usage: {cpu_usage}%, Memory Usage: {memory_usage}%')
asyncio.sleep(5)disclosure
Exploit Status
EPSS
0.06% (18% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar Strawberry GraphQL versie 0.312.3 of hoger, waarin de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het implementeren van rate limiting op WebSocket verbindingen. Dit kan worden gedaan via een reverse proxy (zoals Nginx of Apache) of via een custom middleware in de GraphQL server. Daarnaast kan het monitoren van het aantal actieve WebSocket subscriptions per verbinding helpen bij het detecteren van verdachte activiteit. Na de upgrade, controleer de serverlogboeken op ongebruikelijke patronen of foutmeldingen gerelateerd aan WebSocket verbindingen om te bevestigen dat de kwetsbaarheid effectief is verholpen.
Werk Strawberry GraphQL bij naar versie 0.312.3 of hoger om de denial-of-service kwetsbaarheid te mitigeren. Deze versie introduceert limieten op het aantal actieve WebSocket subscriptions per verbinding, waardoor overmatig resourcegebruik en mogelijke crashes worden voorkomen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-35526 is a denial-of-service vulnerability in Strawberry GraphQL versions 0.0.0 through 0.312.2, allowing attackers to exhaust server resources by flooding subscription messages.
If you are using Strawberry GraphQL versions 0.0.0 through 0.312.2, you are potentially affected by this vulnerability. Upgrade to 0.312.3 or later to mitigate the risk.
The recommended fix is to upgrade Strawberry GraphQL to version 0.312.3 or later. Consider implementing rate limiting on WebSocket connections as a temporary workaround.
Active exploitation has not been confirmed, but the vulnerability's ease of exploitation makes it a potential target. Continuous monitoring is advised.
Refer to the Strawberry GraphQL project's official advisory and release notes for detailed information and updates: [https://strawberry.py/docs/releases](https://strawberry.py/docs/releases)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.