CVE-2026-45739

Nome do Software Vulnerável e Versões Afetadas Strawberry GraphQL versões 0.288.4 a 0.315.3

Description O template GraphiQL integrado no Strawberry GraphQL grava valores do editor de cabeçalhos na string de consulta da URL do navegador. Isso ocorre porque o template strawberry/static/graphiql.html utiliza a função updateURL() dentro de onEditHeaders() para serializar textos de cabeçalhos arbitrários no parâmetro headers da URL. Consequentemente, informações sensíveis, como tokens de Authorization, podem ficar expostas no histórico do navegador, links copiados e logs de acesso de servidores, proxies ou CDNs após a recarga da página ou quando uma requisição é compartilhada. Essa exposição é limitada ao IDE baseado em navegador e não afeta a execução de consultas GraphQL nem permite a bypass direta de autorização.

Recommendations Atualize para a versão 0.315.4. Como medida paliativa temporária, desative o IDE integrado em produção definindo graphql ide=None no GraphQLRouter ou em outras integrações HTTP. Alternativamente, forneça um template GraphiQL personalizado que não serialize valores de cabeçalho na URL.