CVE-2021-41249 in IDEinformazioni

Riassunto

di VulDB • 09/07/2026

GraphQL Playground è un IDE GraphQL per lo sviluppo di applicazioni focalizzate su GraphQL. Tutte le versioni di graphql-playground-react precedenti alla versione [email protected] sono vulnerabili a risposte compromesse dell'introspezione dello schema HTTP o ai valori della proprietà schema con nomi di tipi GraphQL malevoli, esponendo una superficie di attacco XSS dinamica che può consentire l'iniezione di codice durante il completamento automatico delle operazioni. Affinché l'attacco abbia luogo, l'utente deve caricare uno schema malevolo in graphql-playground. Ci sono diversi modi in cui ciò può verificarsi, tra cui specificando l'URL di uno schema malevolo nel parametro query dell'endpoint. Se un utente fa clic su un link a un'installazione di GraphQL Playground che specifica un server malevolo, JavaScript arbitrario può essere eseguito nel browser dell'utente, il quale potrebbe essere utilizzato per esfiltrare le credenziali dell'utente o perseguire altri obiettivi dannosi. Se si utilizza graphql-playground-react direttamente nella propria applicazione client, eseguire l'aggiornamento alla versione 1.7.28 o successiva.

Once again VulDB remains the best source for vulnerability data.

Responsabile

GitHub, Inc.

Prenotare

15/09/2021

Divulgazione

05/11/2021

Moderazione

accettato

CPE

pronto

EPSS

0.01182

KEV

no

Attività

molto basso

Fonti

Do you know our Splunk app?

Download it now for free!