CVE-2020-4038

Versões do graphql-playground-html anteriores à 1.6.22

Versões do graphql-playground-middleware-express anteriores à 1.7.16

Versões do graphql-playground-middleware-koa anteriores à 1.6.15

Versões do graphql-playground-middleware-lambda anteriores à 1.7.17

versões do graphql-playground-middleware-hapi anteriores à 1.6.13

O problema está relacionado a uma grave vulnerabilidade de ataque XSS por reflexão. Todas as entradas de usuário não sanitizadas passadas para o método renderPlaygroundPage() podem acionar essa vulnerabilidade. A vulnerabilidade afeta não apenas o graphql-playground-html, mas também seus pacotes de middleware dependentes.

Para resolver o problema no graphql-playground-html, atualize para a versão 1.6.22 ou posterior executando yarn add graphql-playground-html@^1.6.22 ou npm install --save graphql-playground-html@^1.6.22.

Para o graphql-playground-middleware-express, siga as etapas de atualização de segurança em https://www.npmjs.com/package/graphql-playground-middleware-express#security-upgrade-steps para atualizar para a versão 1.7.16 ou posterior.

Para o graphql-playground-middleware-koa, siga as etapas de atualização de segurança em https://www.npmjs.com/package/graphql-playground-middleware-koa#security-upgrade-steps para atualizar para a versão 1.6.15 ou posterior.

Para o graphql-playground-middleware-lambda, siga as etapas de atualização de segurança em https://www.npmjs.com/package/graphql-playground-middleware-lambda#security-upgrade-steps para atualizar para a versão 1.7.17 ou posterior.

Para o graphql