CVE-2021-41249 in IDEinfo

Zusammenfassung

von VulDB • 08.07.2026

GraphQL Playground ist eine GraphQL-IDE zur Entwicklung von auf GraphQL ausgerichteten Anwendungen. Alle Versionen von graphql-playground-react vor [email protected] sind anfällig für kompromittierte HTTP-Schema-Introspektionsantworten oder Schema-prop-Werte mit bösartigen GraphQL-Typnamen, wodurch eine dynamische XSS-Angriffsfläche entsteht, die Code-Injection bei der automatischen Vervollständigung von Operationen ermöglichen kann. Damit der Angriff erfolgreich sein kann, muss ein Benutzer ein böses Schema in graphql-playground laden. Dies kann auf verschiedene Weise geschehen, einschließlich durch Angabe der URL zu einem bösartigen Schema im Abfrageparameter „endpoint“. Wenn ein Benutzer auf einen Link zu einer GraphQL-Playground-Installation klickt, die einen bösartigen Server angibt, kann beliebiger JavaScript-Code im Browser des Benutzers ausgeführt werden, was zur Exfiltration von Benutzeranmeldeinformationen oder für andere schädliche Zwecke genutzt werden kann. Wenn Sie graphql-playground-react direkt in Ihrer Client-Anwendung verwenden, aktualisieren Sie auf Version 1.7.28 oder höher.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Zuständig

GitHub, Inc.

Reservieren

15.09.2021

Veröffentlichung

05.11.2021

Moderieren

akzeptiert

Eintrag

VDB-186094

CPE

bereit

EPSS

0.01182

KEV

nein

Aktivitäten

very low

Quellen

Want to stay up to date on a daily basis?

Enable the mail alert feature now!