python · strawberry-graphqlAtenção

strawberry-graphql: QueryDepthLimiter vulnerável a DoS por recursão infinita em fragmentos circulares

A extensão QueryDepthLimiter não possui detecção de ciclos em fragmentos.

09 Jun 2026Leitura 1 minSeveridade: agende este mês

O que mudou

A extensão QueryDepthLimiter não possui detecção de ciclos em fragmentos. A função determine_depth resolve FragmentSpreadNode recursivamente sem manter um conjunto de fragmentos visitados, permitindo recursão infinita com referências circulares.

Quem isso afeta

Usuários de strawberry-graphql que utilizam a extensão QueryDepthLimiter.

O que fazer hoje

Atualize para uma versão corrigida que inclua detecção de ciclos na função determine_depth, ou desabilite o QueryDepthLimiter até que um patch esteja disponível.

A esteira

Coletado→ Auditado→ Redigido→ Publicado

Fonte

GitHub Advisory · strawberry-graphql

strawberry-graphql: QueryDepthLimiter vulnerável a DoS por recursão infinita em fragmentos circulares

O que mudou

Quem isso afeta

O que fazer hoje

Mais sobre strawberry-graphql

django 6.0.6: nova versão disponível

docling: correções de segurança no backend METS-GBS