つみかさね

CVE-2026-40324

Critical(9.1)

CVE-2026-40324 — Hot Chocolate GraphQL サーバー DoS

公開日: 2026-05-01データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Hot ChocolateChilliCream12.22.7 未満 (v12系)
Hot ChocolateChilliCream13.9.16 未満 (v13系)
Hot ChocolateChilliCream14.3.1 未満 (v14系)
Hot ChocolateChilliCream15.1.14 未満 (v15系)

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1Hot Chocolateのバージョンを確認
  2. 2パッチ済みバージョンへアップデート
  3. 3リバースプロキシでリクエストボディサイズを制限(緩和策)

影響対象

Hot Chocolate GraphQLサーバー利用者

補足

  • -CVSS 9.1 Critical — 回避策なし、アップグレードが必須です
CVEHot ChocolateGraphQL.NETDoS

概要

Hot Chocolate の Utf8GraphQLParser に再帰深度制限がない脆弱性が発見されました。深くネストされた GraphQL ドキュメント(約 40KB)を送信すると、.NET の StackOverflowException がスローされ、プロセスが強制終了されます。

この例外はキャッチ不能なため、MaxExecutionDepth や複雑度アナライザーでは防止できません(パーサーフェーズで発生するため)。修正バージョンでは MaxAllowedRecursionDepth オプションが追加されました。回避策はなく、アップグレードが唯一の対策です。

CVSSベクトル

項目
CVSSスコア9.1
深刻度Critical
攻撃経路 (AV)ネットワーク (Network)
攻撃複雑度 (AC)低 (Low)
必要権限 (PR)不要 (None)
ユーザー操作 (UI)不要 (None)
CWECWE-674 (過剰な再帰)

影響を受けるソフトウェア

製品ベンダー影響バージョン
Hot ChocolateChilliCream12.22.7 未満 (v12系)
Hot ChocolateChilliCream13.9.16 未満 (v13系)
Hot ChocolateChilliCream14.3.1 未満 (v14系)
Hot ChocolateChilliCream15.1.14 未満 (v15系)

修正バージョンと回避策

  • 修正バージョン: Hot Chocolate 12.22.7、13.9.16、14.3.1、または 15.1.14 以降へアップデート
  • 緩和策: リバースプロキシでリクエストボディサイズを制限することで攻撃ペイロードの到達を制限できます(完全な回避策ではない)
  • 注意: MaxExecutionDepth および複雑度アナライザーはこの脆弱性を防止できません

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-40324
GitHub PR:https://github.com/ChilliCream/graphql-platform/pull/9528
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。