EEF-CVE-2026-43967 漏洞总结 漏洞概述 漏洞名称:Absinthe GraphQL 唯一性检查导致拒绝服务(DoS) 漏洞类型:算法复杂度漏洞(CWE-400) 严重程度:9.7 (High) CVSS 3.1 评分:CVSS:3.1/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VA:N/SC:N/SI:N/SA:N 发布日期:2026-05-08T16:42:34.347Z 修改日期:2026-05-08T16:32:67445527Z 影响组件:absinthe-graphql/absinthe (1.2.0 到 1.10.2) 漏洞详情 在 中, 对每个片段调用 ,导致对片段列表进行全线性扫描。结果是 O(N²) 比较次数,其中 N 是调用方提供的片段定义数量。 由于 直接从 GraphQL 查询体构建,N 完全由攻击者控制。一个最小大小的片段定义约为 16 字节,因此一个 ~1 MB 的片段可携带 ~60,000 个片段,并强制进行 ~3.6 × 10⁹ 次比较。此验证阶段无需认证、模式知识或特殊配置。 影响范围 受影响包: 包名: Purl: 受影响版本: 事件: - Introduced: 1.2.0 - Fixed: 1.10.2 修复方案 修复版本:升级到 或更高版本 修复链接:GitHub Commit 参考链接 CNA Entry GitHub Advisory GitHub CVE Hex Package Credits Finder: Peter Ulbrich Remediation Developer: Curtis Schiewek Database Specific