strawberry-graphql
Corrigido em
0.312.4
0.312.3
Uma vulnerabilidade de bypass de autenticação foi descoberta no Strawberry GraphQL, uma biblioteca para a criação de APIs GraphQL. A falha, presente em versões de 0.0.0 até a 0.312.3, permite que um atacante remoto contorne a autenticação em endpoints de assinatura WebSocket. A atualização para a versão 0.312.3 corrige essa vulnerabilidade.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante remoto ignore completamente o processo de autenticação em endpoints de assinatura WebSocket. Isso significa que um atacante pode se conectar a esses endpoints sem passar por verificações de autenticação, potencialmente obtendo acesso não autorizado a dados sensíveis ou executando ações em nome de outros usuários. A ausência de autenticação adequada pode levar a uma série de ataques, incluindo roubo de dados, modificação de dados e negação de serviço, dependendo da funcionalidade exposta pelos endpoints de assinatura.
Esta vulnerabilidade foi publicada em 2026-04-07. Não há informações disponíveis sobre a inclusão em KEV ou sobre a existência de PoCs públicas. A probabilidade de exploração é desconhecida, mas a natureza do bypass de autenticação a torna potencialmente preocupante.
Applications utilizing Strawberry GraphQL for building GraphQL APIs, particularly those relying on WebSocket subscriptions for real-time data updates, are at risk. Systems with legacy graphql-ws subprotocol enabled are especially vulnerable. Developers who have not recently updated their Strawberry GraphQL dependencies should prioritize patching.
• python / server:
import websocket
ws = websocket.WebSocket()
ws.connect('ws://your-graphql-endpoint')
ws.send('{"id":"1","type":"subscription","payload":{"query":"subscription MySubscription { ... }","variables":{}}}
')
# If the connection proceeds without handshake verification, the system is vulnerable.disclosure
Status do Exploit
EPSS
0.13% (percentil 32%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o Strawberry GraphQL para a versão 0.312.3 ou superior. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como a validação rigorosa de todas as solicitações WebSocket e a aplicação de políticas de acesso restritivas. Monitore os logs do servidor em busca de conexões WebSocket suspeitas que não passem pela autenticação esperada. Após a atualização, confirme a correção verificando se as solicitações de assinatura WebSocket requerem autenticação adequada.
Atualize Strawberry GraphQL para a versão 0.312.3 ou superior para mitigar a vulnerabilidade de bypass de autenticação nos endpoints de subscrição WebSocket. Certifique-se de revisar a documentação de Strawberry GraphQL para obter instruções de atualização específicas e possíveis alterações na configuração.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-35523 is a HIGH severity vulnerability in Strawberry GraphQL versions 0.0.0 through 0.312.2 that allows attackers to bypass authentication on WebSocket subscription endpoints.
If you are using Strawberry GraphQL versions 0.0.0 through 0.312.2, you are potentially affected by this vulnerability. Upgrade to 0.312.3 or later to mitigate the risk.
The recommended fix is to upgrade Strawberry GraphQL to version 0.312.3 or later. As a temporary workaround, implement rigorous handshake validation in your application logic.
As of the current disclosure date, there are no confirmed reports of active exploitation of CVE-2026-35523.
Refer to the official Strawberry GraphQL documentation and security advisories for the latest information and updates regarding CVE-2026-35523.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.