CVE-2026-47707

Nome do Software Vulnerável e Versões Afetadas Strawberry GraphQL versões 0.172.0 a 0.315.6

Description A extensão MaxAliasesLimiter não contabiliza o efeito multiplicativo do FragmentSpreadNode. Embora os aliases estáticos dentro da Árvore de Sintaxe Abstrata (AST) sejam contados, o sistema não considera quantas vezes os aliases internos de um fragmento são expandidos durante a execução. Isso permite que um invasor ignore os limites de alias e force o servidor a resolver e renderizar um número significativamente maior de aliases do que o permitido, podendo levar a uma negação de serviço (DoS) via exaustão de recursos de CPU e memória.

Recommendations Atualize para a versão 0.315.7.