Vulnerabilidad en GraphQL Java (CVE-2024-40094)
Gravedad:
Pendiente de análisis
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
30/07/2024
Última modificación:
30/07/2024
Descripción
GraphQL Java (también conocido como graphql-java) anterior a 21.5 no considera adecuadamente los ExecutableNormalizedFields (ENF) como parte de la prevención de la denegación de servicio mediante consultas de introspección. 20.9 y 19.11 también son versiones fijas.
Impacto
Referencias a soluciones, herramientas e información
- https://github.com/graphql-java/graphql-java/commit/97743bc1b5caa2b0bd894dc8e128b47e4d771e4a
- https://github.com/graphql-java/graphql-java/discussions/3641
- https://github.com/graphql-java/graphql-java/pull/3539
- https://github.com/graphql-java/graphql-java/releases/tag/v19.11
- https://github.com/graphql-java/graphql-java/releases/tag/v20.9
- https://github.com/graphql-java/graphql-java/releases/tag/v21.5