CVE-2026-40324: Вразливість переповнення стеку в Hot Chocolate GraphQL сервері

Критична вразливість переповнення стеку в Hot Chocolate GraphQL сервері може викликати аварійне завершення процесу. Оновіть сервер для захисту.
CVE-2026-40324CVSS 9.1Web

CVE-2026-40324: Вразливість переповнення стеку в Hot Chocolate GraphQL сервері

Критична вразливість переповнення стеку в Hot Chocolate GraphQL сервері може викликати аварійне завершення процесу. Оновіть сервер для захисту.

CVSS
9.1 CRITICAL
EPSS
55.32%
Активно використовується
немає в KEV
Продукт
-

Що відомо

Відкрите програмне забезпечення Hot Chocolate GraphQL сервер має критичну вразливість переповнення стеку через відсутність обмеження глибини рекурсії в парсері Utf8GraphQLParser. Зловмисний запит з глибоко вкладеними структурами може викликати аварійне завершення процесу, що призведе до втрати всіх активних HTTP-запитів і WebSocket-з'єднань.

Бізнес-вплив

Для операторів ІТ та власників інфраструктури це означає можливі відмови в обслуговуванні через аварійне завершення процесу сервера Hot Chocolate. Вразливість унеможливлює перехоплення помилки на рівні застосунку, що ускладнює захист від атак. Відновлення роботи вимагає перезапуску процесу, що може вплинути на доступність сервісів.

Рекомендовані дії адміністратора

Рекомендується негайно оновити Hot Chocolate до версій 12.22.7, 13.9.16, 14.3.1 або 15.1.14, де додано обмеження глибини рекурсії. До оновлення слід розглянути обмеження розміру HTTP-запитів на рівні зворотного проксі або балансувальника навантаження, хоча це не повністю усуває ризик. Також варто переглянути журнали для виявлення аномальних запитів і пріоритезувати оновлення в рамках політики безпеки.

Джерела