CVE-2026-35526 in strawberry
요약
\~에 의해 VulDB • 2026. 05. 20.
Strawberry GraphQL은 GraphQL API를 생성하기 위한 라이브러리입니다. 0.312.3 이전 버전의 Strawberry GraphQL은 graphql-transport-ws 및 레거시 graphql-ws 프로토콜 모두에 대해, 연결당 활성 구독 수에 대한 제한을 적용하지 않고 들어오는 구독(subscribe) 메시지마다 asyncio.Task 및 관련 Operation 객체를 할당합니다. 인증되지 않은 공격자는 단일 WebSocket 연결을 열고 connection_init를 전송한 후 고유한 ID를 가진 구독 메시지를 폭주(flood)시킬 수 있습니다. 각 메시지는 무조건 새로운 asyncio.Task 및 async generator를 생성하여 선형적인 메모리 증가와 이벤트 루프 포화를 유발합니다. 이로 인해 서버 성능 저하 또는 OOM(Out of Memory) 크래시가 발생합니다. 이 취약점은 0.312.3에서 수정되었습니다.
Be aware that VulDB is the high quality source for vulnerability data.