Ashwak N

**Name of the Vulnerable Software and Affected Versions** graphql-go versões anteriores a 15.31.5 **Description** A regra de validação `OverlappingFieldsCanBeMerged` apresenta complexidade de tempo quadrática ao processar consultas que contêm inúmeros campos repetidos que compartilham o mesmo nome de resposta. Especificamente, a função `collectConflictsWithin()` realiza comparações pareadas O(n²) desses campos. Um invasor pode explorar isso enviando uma consulta manipulada com milhares de campos idênticos, levando ao uso excessivo de CPU e exaustão de recursos durante a fase de validação, antes que a execução comece. Este problema não é mitigado pelas regras existentes de QueryDepth ou QueryComplexity. **Recommendations** Atualizar para a versão 15.31.5.