CVE-2021-41248 in IDEinfo

Zusammenfassung

von VulDB • 06.06.2026

GraphiQL ist die Referenzimplementierung dieses Monorepos, eine GraphQL-IDE und ein offizielles Projekt der GraphQL Foundation. Alle Versionen von graphiql vor [email protected] sind anfällig für kompromittierte HTTP-Schema-Introspektionsantworten oder Schema-Prop-Werte mit bösartigen GraphQL-Typnamen, wodurch eine dynamische XSS-Angriffsfläche entsteht, die Code-Injection bei der automatischen Vervollständigung von Operationen ermöglichen kann. Damit der Angriff erfolgreich ist, muss der Benutzer ein anfälliges Schema in graphiql laden. Dies kann auf verschiedene Weise geschehen. Standardmäßig ist die Schema-URL in graphiql oder in seinen vorgeschlagenen Implementierungen oder Beispielen nicht vom Angreifer kontrollierbar, was nur sehr komplexe Angriffsvektoren übrig lässt. Wenn eine benutzerdefinierte Implementierung des graphiql-Fetchers es ermöglicht, die Schema-URL dynamisch festzulegen, wie z. B. einen URL-Abfrageparameter wie ?endpoint= in graphql-playground oder einen aus einer Datenbank bereitgestellten Wert, dann ist diese benutzerdefinierte graphiql-Implementierung anfällig für Phishing-Angriffe und somit viel leichter zugängliche XSS-Angriffe mit niedrigem oder keinem Berechtigungslevel möglich. Die URLs könnten wie jede beliebige generisch aussehende GraphQL-Schema-URL aussehen. Es ist anzumerken, dass Desktop-Clients wie Altair, Insomnia und Postwoman anscheinend nicht von dieser Schwachstelle betroffen sind. Diese Schwachstelle betrifft nicht codemirror-graphql, monaco-graphql oder andere Abhängigkeiten, da sie in onHasCompletion.ts in graphiql existiert. Sie betrifft jedoch alle Forks von graphiql und jede veröffentlichte Version von graphiql.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Zuständig

GitHub, Inc.

Reservieren

15.09.2021

Veröffentlichung

05.11.2021

Moderieren

akzeptiert

Eintrag

VDB-186093

CPE

bereit

EPSS

0.01032

KEV

nein

Aktivitäten

very low

Quellen

Want to know what is going to be exploited?

We predict KEV entries!