CVE-2026-35523

Name of the Vulnerable Software and Affected Versions Strawberry GraphQL versões até 0.312.3

Description Strawberry GraphQL é suscetível a um bypass de autenticação em endpoints de assinatura WebSocket. O manipulador de subprotocolo graphql-ws legado não verifica a conclusão de um handshake connection init antes de processar mensagens de início (assinatura). Isso permite que um invasor ignore o hook de autenticação on ws connect conectando-se com o subprotocolo graphql-ws e enviando uma mensagem de início diretamente, sem uma mensagem connection init. O manipulador de subprotocolo graphql-transport-ws não é afetado. Aplicações que dependem de on ws connect para autenticação ou autorização são afetadas.

Recommendations Atualize para a versão 0.312.3 ou posterior. Alternativamente, desative o subprotocolo graphql-ws legado definindo subscription protocols=[GRAPHQL TRANSPORT WS PROTOCOL] em sua visualização/roteador GraphQL.