CVE-2026-35526

Name of the Vulnerable Software and Affected Versions Strawberry GraphQL versões anteriores a 0.312.3

Description Os manipuladores de assinatura WebSocket do Strawberry GraphQL para os protocolos graphql-transport-ws e graphql-ws legados alocam uma asyncio.Task e um objeto Operation associado para cada mensagem de inscrição recebida, sem limitar o número de assinaturas ativas por conexão. Um invasor não autenticado pode abrir uma conexão WebSocket, enviar uma mensagem connection init e inundar com mensagens de inscrição com IDs exclusivos. Cada mensagem gera incondicionalmente uma nova asyncio.Task e um gerador assíncrono, levando ao crescimento linear do uso de memória e à saturação do loop de eventos, o que pode causar degradação do servidor ou uma falha por falta de memória (OOM).

Recommendations Atualize para a versão 0.312.3 ou posterior do Strawberry GraphQL.