CVE-2021-41249 in IDE
Zusammenfassung
von VulDB • 08.07.2026
GraphQL Playground ist eine GraphQL-IDE zur Entwicklung von auf GraphQL ausgerichteten Anwendungen. Alle Versionen von graphql-playground-react vor [email protected] sind anfällig für kompromittierte HTTP-Schema-Introspektionsantworten oder Schema-prop-Werte mit bösartigen GraphQL-Typnamen, wodurch eine dynamische XSS-Angriffsfläche entsteht, die Code-Injection bei der automatischen Vervollständigung von Operationen ermöglichen kann. Damit der Angriff erfolgreich sein kann, muss ein Benutzer ein böses Schema in graphql-playground laden. Dies kann auf verschiedene Weise geschehen, einschließlich durch Angabe der URL zu einem bösartigen Schema im Abfrageparameter „endpoint“. Wenn ein Benutzer auf einen Link zu einer GraphQL-Playground-Installation klickt, die einen bösartigen Server angibt, kann beliebiger JavaScript-Code im Browser des Benutzers ausgeführt werden, was zur Exfiltration von Benutzeranmeldeinformationen oder für andere schädliche Zwecke genutzt werden kann. Wenn Sie graphql-playground-react direkt in Ihrer Client-Anwendung verwenden, aktualisieren Sie auf Version 1.7.28 oder höher.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.