python · strawberry-graphqlAtenção
strawberry-graphql: MaxAliasesLimiter não contabiliza FragmentSpreadNode
A extensão MaxAliasesLimiter no Strawberry GraphQL não considera o efeito multiplicativo de FragmentSpreadNode, permitindo que atacantes burlem o limite de alia
O que mudou
A extensão MaxAliasesLimiter no Strawberry GraphQL não considera o efeito multiplicativo de FragmentSpreadNode, permitindo que atacantes burlem o limite de aliases e causem exaustão de recursos.
Quem isso afeta
Aplicações que usam Strawberry GraphQL com a extensão MaxAliasesLimiter, especialmente as expostas a usuários não confiáveis.
O que fazer hoje
Atualize o Strawberry GraphQL para uma versão corrigida que conte corretamente os aliases expandidos de fragmentos, ou implemente limitação de taxa e monitoramento adicionais.
A esteira
Coletado→
Auditado→
Redigido→
Publicado