Plataforma
nodejs
Componente
saleor
Corrigido em
2.0.1
3.21.1
3.22.1
3.23.1
A vulnerabilidade CVE-2026-35401 afeta a plataforma de e-commerce Saleor, permitindo que um atacante cause exaustão de recursos através da inclusão de múltiplas consultas GraphQL em uma única chamada de API. Essa exploração pode levar à indisponibilidade do serviço e interrupção das operações. As versões afetadas são 2.0.0–>= 3.23.0-a.0, < 3.23.0a3. A correção está disponível a partir da versão 3.23.0a3.
Um atacante pode explorar essa vulnerabilidade enviando um grande número de consultas GraphQL complexas, utilizando aliases ou encadeando múltiplas mutações em uma única requisição. Isso sobrecarrega os recursos do servidor, como memória e CPU, resultando em lentidão, instabilidade e, potencialmente, uma negação de serviço (DoS). O impacto pode ser significativo, especialmente em ambientes de produção com alto tráfego, pois a plataforma pode se tornar inacessível para usuários legítimos. A exploração bem-sucedida pode comprometer a disponibilidade do sistema de e-commerce e impactar negativamente as vendas e a reputação da empresa.
Atualmente, não há informações públicas sobre exploração ativa dessa vulnerabilidade. A vulnerabilidade foi divulgada em 08 de abril de 2026. Não está listada no KEV da CISA. A ausência de um Proof of Concept (PoC) público sugere um risco menor, mas a complexidade da exploração não deve ser subestimada.
E-commerce businesses utilizing Saleor versions 2.0.0 through 3.23.0-a.0 (excluding patched versions) are at risk. This includes organizations running Saleor in production environments, particularly those with publicly accessible GraphQL endpoints. Shared hosting environments where multiple Saleor instances share resources are also at increased risk, as an attack on one instance could impact others.
• nodejs / server:
ps aux | grep saleor• nodejs / server:
journalctl -u saleor -f | grep "GraphQL query exceeded"• generic web: Use a web proxy or browser developer tools to inspect GraphQL requests. Look for unusually long or complex queries with many aliases or chained mutations.
disclosure
Status do Exploit
EPSS
0.05% (percentil 16%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar para a versão corrigida do Saleor (3.23.0a3). Se a atualização imediata não for possível, considere implementar medidas temporárias para reduzir o impacto. Limitar o número de consultas GraphQL permitidas por requisição pode ajudar a mitigar o consumo excessivo de recursos. Implementar um firewall de aplicação web (WAF) com regras para detectar e bloquear requisições GraphQL anormais também pode ser eficaz. Monitore de perto o uso de recursos do servidor e configure alertas para detectar picos incomuns. Após a atualização, confirme a correção verificando os logs do sistema em busca de tentativas de exploração e monitorando o desempenho do servidor.
Atualize Saleor para a versão 3.23.0a3, 3.22.47, 3.21.54 ou 3.20.118 para mitigar a vulnerabilidade de esgotamento de recursos em consultas GraphQL. Esta atualização limita a quantidade de recursos consumidos pelas consultas GraphQL, prevenindo ataques de negação de serviço. Consulte as notas de versão para obter instruções detalhadas de atualização.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-35401 is a high-severity vulnerability in Saleor allowing attackers to exhaust server resources through crafted GraphQL queries, potentially leading to denial of service.
You are affected if you are running Saleor versions 2.0.0–>= 3.23.0-a.0, < 3.23.0a3. Check your version and upgrade immediately.
Upgrade Saleor to version 3.23.0a3, 3.22.47, 3.21.54, or 3.20.118. Consider rate limiting and WAF rules as temporary mitigations.
No active exploitation has been confirmed at this time, but the vulnerability's ease of exploitation warrants prompt remediation.
Refer to the Saleor security advisories on their official website or GitHub repository for the latest information and updates.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.