PT-2022-15055 · Unknown+1 · Graphql-Go+1
Jupenur
·
Publicado
2022-01-21
·
Atualizado
2023-07-24
·
CVE-2022-21708
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do graphql-go anteriores à 1.3.0
Descrição
O problema é uma vulnerabilidade DoS causada por um bug na biblioteca que permite que um invasor, por meio de consultas especificamente projetadas, provoque erros de estouro de pilha. Qualquer usuário com acesso ao manipulador GraphQL pode enviar essas consultas e causar estouros de pilha, comprometendo potencialmente a capacidade do servidor de fornecer dados. Esse problema ocorre apenas ao usar a opção
graphql.MaxDepth no esquema.Recomendações
Para versões anteriores à 1.3.0, a melhor solução alternativa é atualizar para uma versão maior ou igual a
v1.3.0.Caso contrário, a única solução alternativa nas versões anteriores à
v1.3.0 é desativar a opção graphql.MaxDepth do seu esquema, embora isso possa potencialmente criar oportunidades para outros ataques.Exploit
Correção
DoS
Uncontrolled Recursion
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Debian
Graphql-Go