CVE-2026-40324: Krytyczna luka przepełnienia stosu w parserze Hot Chocolate GraphQL
Krytyczna luka w parserze Hot Chocolate GraphQL umożliwia atak DoS przez przepełnienie stosu. Zalecana natychmiastowa aktualizacja oprogramowania.
- CVSS
- 9.1 CRITICAL
- EPSS
- 55.32%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
Hot Chocolate, popularny serwer GraphQL, ma krytyczną lukę w parserze rekurencyjnym, która pozwala na wywołanie wyjątku StackOverflowException przez specjalnie spreparowane zapytania z głęboko zagnieżdżonymi strukturami. Luka występuje w wersjach przed 12.22.7, 13.9.16, 14.3.1 i 15.1.14 i powoduje natychmiastowe zakończenie procesu serwera, przerywając wszystkie aktywne połączenia i zadania.
Wpływ biznesowy
Atak wykorzystujący tę lukę może spowodować natychmiastowe zatrzymanie procesu serwera Hot Chocolate, co skutkuje przerwaniem obsługi wszystkich bieżących zapytań HTTP, zadań w tle oraz subskrypcji WebSocket. W środowiskach produkcyjnych może to prowadzić do poważnych zakłóceń w dostępności usług oraz wymusić automatyczne restarty procesów przez systemy orkiestracji, takie jak Kubernetes czy IIS.
Rekomendowane działania administratora
Administratorzy powinni niezwłocznie zaktualizować Hot Chocolate do wersji 12.22.7, 13.9.16, 14.3.1 lub 15.1.14, które zawierają poprawkę wprowadzającą limit głębokości rekurencji parsera. W międzyczasie warto ograniczyć rozmiar ciała zapytań HTTP na poziomie proxy lub load balancera, choć minimalny rozmiar złośliwego zapytania (40 KB) jest zwykle poniżej domyślnych limitów. Należy także monitorować logi pod kątem nieoczekiwanych restartów procesów i podejrzanych zapytań.