Lpschroer

**Nome do Software Vulnerável e Versões Afetadas** Strawberry GraphQL versões 0.288.4 a 0.315.3 **Description** O template GraphiQL integrado no Strawberry GraphQL grava valores do editor de cabeçalhos na string de consulta da URL do navegador. Isso ocorre porque o template `strawberry/static/graphiql.html` utiliza a função `updateURL()` dentro de `onEditHeaders()` para serializar textos de cabeçalhos arbitrários no parâmetro `headers` da URL. Consequentemente, informações sensíveis, como tokens de `Authorization`, podem ficar expostas no histórico do navegador, links copiados e logs de acesso de servidores, proxies ou CDNs após a recarga da página ou quando uma requisição é compartilhada. Essa exposição é limitada ao IDE baseado em navegador e não afeta a execução de consultas GraphQL nem permite a bypass direta de autorização. **Recommendations** Atualize para a versão 0.315.4. Como medida paliativa temporária, desative o IDE integrado em produção definindo `graphql ide=None` no `GraphQLRouter` ou em outras integrações HTTP. Alternativamente, forneça um template GraphiQL personalizado que não serialize valores de cabeçalho na URL.