Katalog CVE

CVE-2026-40324

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Hot Chocolate to otwartoźródłowy serwer GraphQL, który przed wersjami 12.22.7, 13.9.16, 14.3.1 i 15.1.14 nie miał limitu głębokości rekurencji w parserze `Utf8GraphQLParser`. Odpowiednio skonstruowany dokument GraphQL z głęboko zagnieżdżonymi zestawami wyboru może wywołać `StackOverflowException`, co prowadzi do natychmiastowego zakończenia całego procesu roboczego.

Ocena ryzyka

Z powodu braku limitu głębokości rekurencji, atakujący może spowodować awarię serwera, co skutkuje utratą wszystkich aktywnych żądań HTTP oraz zadań w tle. To może prowadzić do poważnych zakłóceń w działaniu aplikacji i wymagać ponownego uruchomienia procesu przez orkiestrator.

Rekomendacja

Zaleca się aktualizację Hot Chocolate do wersji 12.22.7, 13.9.16, 14.3.1 lub 15.1.14, aby wprowadzić limit głębokości rekurencji i zapobiec wystąpieniu `StackOverflowException`.

Oryginalny opis (angielski, źródło NVD)

Hot Chocolate is an open-source GraphQL server. Prior to versions 12.22.7, 13.9.16, 14.3.1, and 15.1.14, Hot Chocolate's recursive descent parser `Utf8GraphQLParser` has no recursion depth limit. A crafted GraphQL document with deeply nested selection sets, object values, list values, or list types can trigger a `StackOverflowException` on payloads as small as 40 KB. Because `StackOverflowException` is uncatchable in .NET (since .NET 2.0), the entire worker process is terminated immediately. All in-flight HTTP requests, background `IHostedService` tasks, and open WebSocket subscriptions on that worker are dropped. The orchestrator (Kubernetes, IIS, etc.) must restart the process. This occurs before any validation rules run — `MaxExecutionDepth`, complexity analyzers, persisted query allow-lists, and custom `IDocumentValidatorRule` implementations cannot intercept the crash because `Utf8GraphQLParser.Parse` is invoked before validation. The `MaxAllowedFields=2048` limit does not help be

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS