Strawberry GraphQL 库存在身份验证绕过漏洞,允许未经授权的访问 WebSocket 订阅端点。该漏洞源于对 graphql-ws 子协议处理程序中连接初始化握手验证的缺失,攻击者可以跳过身份验证钩子。此漏洞影响 Strawberry GraphQL 0.0.0 到 0.312.3 版本,已在 0.312.3 版本中修复。
攻击者可以利用此身份验证绕过漏洞,未经授权访问 Strawberry GraphQL 的 WebSocket 订阅功能。这可能导致敏感数据泄露、恶意操作或对系统进行进一步攻击。由于 WebSocket 订阅通常用于实时数据流和事件通知,因此攻击者可以拦截或篡改这些数据,从而对应用程序和用户造成严重影响。该漏洞的潜在影响范围取决于应用程序对 WebSocket 订阅功能的依赖程度以及订阅数据的敏感性。
此漏洞已公开披露,且存在利用的可能性。目前尚未观察到大规模利用,但由于漏洞的严重性和易利用性,建议尽快采取缓解措施。该漏洞尚未被添加到 CISA KEV 目录中。公开的 PoC 尚未发现,但漏洞描述表明攻击者可以相对容易地利用此漏洞。
Applications utilizing Strawberry GraphQL for building GraphQL APIs, particularly those relying on WebSocket subscriptions for real-time data updates, are at risk. Systems with legacy graphql-ws subprotocol enabled are especially vulnerable. Developers who have not recently updated their Strawberry GraphQL dependencies should prioritize patching.
• python / server:
import websocket
ws = websocket.WebSocket()
ws.connect('ws://your-graphql-endpoint')
ws.send('{"id":"1","type":"subscription","payload":{"query":"subscription MySubscription { ... }","variables":{}}}
')
# If the connection proceeds without handshake verification, the system is vulnerable.disclosure
漏洞利用状态
EPSS
0.13% (32% 百分位)
CISA SSVC
最有效的缓解措施是立即将 Strawberry GraphQL 升级至 0.312.3 或更高版本。如果无法立即升级,可以考虑禁用 WebSocket 订阅功能或实施额外的身份验证层,例如在应用程序级别强制执行身份验证。此外,监控 WebSocket 连接的异常活动,并实施防火墙规则以限制对订阅端点的访问。在升级后,验证身份验证机制是否正常工作,确保攻击者无法绕过身份验证。
将 Strawberry GraphQL 更新到 0.312.3 或更高版本,以缓解 WebSocket 订阅端点的身份验证绕过漏洞。请务必查看 Strawberry GraphQL 的文档,以获取具体的更新说明和可能的配置更改。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-35523 是 Strawberry GraphQL 库中发现的身份验证绕过漏洞,允许攻击者绕过 WebSocket 订阅端点的身份验证。
如果您正在使用 Strawberry GraphQL 0.0.0 到 0.312.3 版本,则可能受到此漏洞的影响。
立即将 Strawberry GraphQL 升级至 0.312.3 或更高版本以修复此漏洞。
目前尚未观察到大规模利用,但由于漏洞的严重性和易利用性,建议尽快采取缓解措施。
请查阅 Strawberry GraphQL 的官方安全公告或 GitHub 仓库以获取更多信息。
CVSS 向量
上传你的 requirements.txt 文件,立即知道是否受影响。