CVE-2026-47706

Nome do Software Vulnerável e Versões Afetadas Strawberry GraphQL versões 0.71.0 a 0.315.6

Description A extensão QueryDepthLimiter está suscetível a uma Negação de Serviço (DoS) ao nível da aplicação. Isso ocorre porque a função determine depth() em query depth limiter.py carece de detecção de ciclos ao resolver fragment spreads. Se uma consulta contiver referências circulares de fragmentos, a função entra em uma recursão infinita, resultando em um RecursionError que interrompe o processo de validação. Isso permite que um invasor esgote os ciclos de CPU do servidor e os pools de threads ou workers, já que a validação ocorre antes da execução da consulta.

Recommendations Atualize para a versão 0.315.7.