CVE-2026-35526 in strawberryinformação

Sumário

de VulDB • 25/05/2026

Strawberry GraphQL é uma biblioteca para a criação de APIs GraphQL. Antes da versão 0.312.3, os manipuladores de subscrição WebSocket do Strawberry GraphQL, tanto para os protocolos graphql-transport-ws como para o legado graphql-ws, alocavam um asyncio.Task e um objeto Operation associado para cada mensagem de subscrição recebida, sem impor qualquer limite ao número de subscrições ativas por ligação. Um atacante não autenticado pode abrir uma única ligação WebSocket, enviar connection_init e, em seguida, inundar com mensagens de subscrição com IDs únicos. Cada mensagem gera incondicionalmente um novo asyncio.Task e um gerador assíncrono, provocando um crescimento linear da memória e a saturação do event loop. Isto leva à degradação do servidor ou a uma falha por OOM (Out of Memory). Esta vulnerabilidade foi corrigida na versão 0.312.3.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

03/04/2026

Divulgação

07/04/2026

Moderação

aceite

Entrada

VDB-355805

CPE

pronto

EPSS

0.00069

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-35526
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-35526
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-35526/

VoltarVisão GeralPróximo

Want to know what is going to be exploited?

We predict KEV entries!