CVE-2026-40324: Вразливість переповнення стеку в Hot Chocolate GraphQL сервері
Критична вразливість переповнення стеку в Hot Chocolate GraphQL сервері може викликати аварійне завершення процесу. Оновіть сервер для захисту.
- CVSS
- 9.1 CRITICAL
- EPSS
- 55.32%
- Активно використовується
- немає в KEV
- Продукт
- -
Що відомо
Відкрите програмне забезпечення Hot Chocolate GraphQL сервер має критичну вразливість переповнення стеку через відсутність обмеження глибини рекурсії в парсері Utf8GraphQLParser. Зловмисний запит з глибоко вкладеними структурами може викликати аварійне завершення процесу, що призведе до втрати всіх активних HTTP-запитів і WebSocket-з'єднань.
Бізнес-вплив
Для операторів ІТ та власників інфраструктури це означає можливі відмови в обслуговуванні через аварійне завершення процесу сервера Hot Chocolate. Вразливість унеможливлює перехоплення помилки на рівні застосунку, що ускладнює захист від атак. Відновлення роботи вимагає перезапуску процесу, що може вплинути на доступність сервісів.
Рекомендовані дії адміністратора
Рекомендується негайно оновити Hot Chocolate до версій 12.22.7, 13.9.16, 14.3.1 або 15.1.14, де додано обмеження глибини рекурсії. До оновлення слід розглянути обмеження розміру HTTP-запитів на рівні зворотного проксі або балансувальника навантаження, хоча це не повністю усуває ризик. Також варто переглянути журнали для виявлення аномальних запитів і пріоритезувати оновлення в рамках політики безпеки.