CVE-2026-40476

Name of the Vulnerable Software and Affected Versions graphql-go versões anteriores a 15.31.5

Description A regra de validação OverlappingFieldsCanBeMerged apresenta complexidade de tempo quadrática ao processar consultas que contêm inúmeros campos repetidos que compartilham o mesmo nome de resposta. Especificamente, a função collectConflictsWithin() realiza comparações pareadas O(n²) desses campos. Um invasor pode explorar isso enviando uma consulta manipulada com milhares de campos idênticos, levando ao uso excessivo de CPU e exaustão de recursos durante a fase de validação, antes que a execução comece. Este problema não é mitigado pelas regras existentes de QueryDepth ou QueryComplexity.

Recommendations Atualizar para a versão 15.31.5.