PT-2022-24054 · Unknown · Graphql-Java
Act1On3
·
Publicado
2022-09-12
·
Atualizado
2024-06-14
·
CVE-2022-37734
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do graphql-java anteriores à 19.0
graphql-java versão 18.3
graphql-java versão 17.4
Descrição
A vulnerabilidade permite que um invasor envie uma consulta GraphQL maliciosa que consome recursos da CPU, levando a uma negação de serviço. Isso pode ser feito explorando a funcionalidade do
graphql-java, especificamente através da criação de consultas maliciosas que sobrecarregam os recursos do sistema.Recomendações
Para versões anteriores à 19.0, atualize para a versão 19.0 ou posterior.
Para a versão 18.3, nenhuma ação adicional é necessária, pois se trata de uma versão corrigida.
Para a versão 17.4, nenhuma ação adicional é necessária, pois se trata de uma versão corrigida.
Como solução temporária, considere restringir o uso de consultas GraphQL maliciosas para minimizar o risco de exploração.
Exploit
Correção
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Graphql-Java