CVE-2021-41249

Versões do graphql-playground-react anteriores à 1.7.28

Versões do graphiql anteriores à 1.4.7

A vulnerabilidade permite que respostas de introspecção de esquema HTTP ou valores de propriedades de esquema sejam comprometidos com nomes de tipos GraphQL maliciosos, expondo uma superfície de ataque XSS dinâmica que pode permitir a injeção de código durante o preenchimento automático de operações. Isso pode ocorrer quando um usuário carrega um esquema malicioso no graphql-playground ou no graphiql, potencialmente ao especificar uma URL para um esquema malicioso no parâmetro de consulta do endpoint. Se um usuário clicar em um link para uma instalação do GraphQL Playground ou do graphiql que especifique um servidor malicioso, JavaScript arbitrário poderá ser executado no navegador do usuário, o que pode ser usado para extrair credenciais do usuário ou para outros fins prejudiciais.

Se você estiver usando o graphql-playground-react diretamente em seu aplicativo cliente, atualize para a versão 1.7.28 ou posterior.

Se você estiver usando o graphql-playground-html ou um pacote cujo nome comece com graphql-playground-middleware- em seu servidor e estiver passando a opção de versão para uma função importada desse pacote, altere essa opção de versão para pelo menos “1.7.28”.

Se você estiver usando o graphql-playground-html ou um pacote cujo nome comece com graphql-playground-middleware- no seu servidor e NÃO estiver passando a opção de versão para uma função importada desse pacote, nenhuma ação é necessária; seu aplicativo carrega automaticamente a versão mais recente do graphql-playground-react a partir do CDN.

Se você