strawberry-graphql
Corrigido em
0.312.4
0.312.3
A vulnerabilidade CVE-2026-35526 afeta a biblioteca Strawberry GraphQL, uma ferramenta para a criação de APIs GraphQL em Python. Um atacante não autenticado pode explorar essa falha para causar um ataque de negação de serviço (DoS), sobrecarregando o servidor com um grande número de solicitações. Versões afetadas incluem todas de 0.0.0 até a 0.312.2. A correção para esta vulnerabilidade foi lançada na versão 0.312.3.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante cause uma negação de serviço (DoS) no servidor Strawberry GraphQL. O atacante pode estabelecer uma única conexão WebSocket e enviar repetidamente mensagens de inscrição com IDs únicos. Cada mensagem resulta na criação de uma nova tarefa asyncio.Task e um objeto Operation, sem limite para o número de inscrições ativas por conexão. Isso pode levar ao esgotamento dos recursos do servidor, como memória e CPU, resultando em lentidão, falhas ou indisponibilidade completa do serviço GraphQL. A ausência de limitação no número de tarefas criadas amplifica o impacto, tornando o ataque particularmente eficaz.
A vulnerabilidade foi divulgada em 2026-04-07. Não há evidências públicas de exploração ativa no momento da divulgação. A pontuação de probabilidade do EPSS ainda não foi atribuída. A ausência de um Proof of Concept (PoC) publicamente disponível dificulta a avaliação do risco imediato, mas a natureza da vulnerabilidade (DoS via WebSocket) a torna potencialmente explorável.
Applications utilizing Strawberry GraphQL for building GraphQL APIs, particularly those exposed to untrusted networks or lacking robust authentication mechanisms, are at risk. Shared hosting environments where multiple applications share the same server resources are especially vulnerable, as a single attacker could impact all hosted applications.
• python / server:
import asyncio
import strawberry
# Check for Strawberry GraphQL version
import strawberry
print(strawberry.__version__)
# Monitor CPU and memory usage for unusual spikes during WebSocket connections
import psutil
while True:
cpu_usage = psutil.cpu_percent(interval=1)
memory_usage = psutil.virtual_memory().percent
print(f'CPU Usage: {cpu_usage}%, Memory Usage: {memory_usage}%')
asyncio.sleep(5)disclosure
Status do Exploit
EPSS
0.06% (percentil 18%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-35526 é atualizar a biblioteca Strawberry GraphQL para a versão 0.312.3 ou superior, que inclui a correção para esta vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de mitigação temporárias. Restringir o número de conexões WebSocket permitidas por endereço IP pode ajudar a limitar o impacto de um ataque DoS. Além disso, a configuração de um Web Application Firewall (WAF) para detectar e bloquear tráfego suspeito, como um grande número de solicitações de inscrição em um curto período de tempo, pode fornecer uma camada adicional de proteção. Monitore de perto o uso de recursos do servidor para identificar e responder a possíveis ataques DoS.
Atualize Strawberry GraphQL para a versão 0.312.3 ou superior para mitigar a vulnerabilidade de negação de serviço. Esta versão introduz limites no número de assinaturas WebSocket ativas por conexão, prevenindo o consumo excessivo de recursos e possíveis falhas.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-35526 is a denial-of-service vulnerability in Strawberry GraphQL versions 0.0.0 through 0.312.2, allowing attackers to exhaust server resources by flooding subscription messages.
If you are using Strawberry GraphQL versions 0.0.0 through 0.312.2, you are potentially affected by this vulnerability. Upgrade to 0.312.3 or later to mitigate the risk.
The recommended fix is to upgrade Strawberry GraphQL to version 0.312.3 or later. Consider implementing rate limiting on WebSocket connections as a temporary workaround.
Active exploitation has not been confirmed, but the vulnerability's ease of exploitation makes it a potential target. Continuous monitoring is advised.
Refer to the Strawberry GraphQL project's official advisory and release notes for detailed information and updates: [https://strawberry.py/docs/releases](https://strawberry.py/docs/releases)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.