CVE-2026-40324: Kritische Sicherheitslücke in Hot Chocolate GraphQL Server
⚠️ CVE-Referenzen:
CVE-2026-40324
Zusammenfassung
Eine kritische Sicherheitslücke im rekursiven Abstiegsparser des Hot Chocolate GraphQL Servers ermöglicht Angreifern durch speziell präparierte GraphQL-Dokumente einen Absturz des gesamten Worker-Prozesses. Dies führt zum Ausfall aller laufenden HTTP-Anfragen und Hintergrundaufgaben. Obwohl Begrenzungen wie MaxAllowedFields existieren, reichen die minimal benötigten Felder aus, um einen Absturz aufgrund von Überlauf des Rekursions-Stacks auszulösen. Die Entwickler haben dies in den neuesten Versionen durch Einführung eines MaxAllowedRecursionDepth-Parameters behoben. Anwender werden dringend empfohlen, auf die aktualisierten Versionen zu aktualisieren.
Chillicream - Graphql-platform - CRITICAL - CVE-2026-40324.
The Hot Chocolate GraphQL server contains a vulnerability in its recursive descent parser, which allows crafted GraphQL documents to trigger a StackOverflowException due to a lack of recursion depth limits. This vulnerability can lead to the termination of the entire worker process, dropping all in-flight HTTP requests and background tasks. The issue occurs when deeply nested selection sets or object values are parsed, resulting in an immediate crash of the process under .NET. While certain limits exist, such as MaxAllowedFields, they do not prevent the crash due to the minimal field count in the payloads. The fixed versions introduce a MaxAllowedRecursionDepth parameter, ensuring safe parsing and throwing a catchable SyntaxException when limits are exceeded. Users are urged to upgrade to the latest patched versions to mitigate this issue.
Quelle: securityvulnerability.io