漏洞总结:CVE-2026-43967 漏洞概述 漏洞名称:Absinthe 二次方片段名称唯一性检查导致拒绝服务 (Denial of Service) 漏洞编号:CVE-2026-43967 CVSS 评分:8.7 (High) 漏洞类型:CWE-407 (低效算法复杂性) 描述:在 库中, 阶段存在低效算法。该阶段在验证片段名称唯一性时,会对每个片段调用 进行全列表扫描。这导致时间复杂度为 $O(N^2)$,攻击者可通过构造包含大量片段(约 60,000 个)的恶意 GraphQL 请求,迫使服务器进行约 $3.6 \times 10^9$ 次比较,从而导致拒绝服务。 影响范围 受影响软件:Absinthe (Elixir GraphQL 库) 受影响版本:1.2.0 至 1.10.2 (不含 1.10.2) 利用条件:无需身份验证,无需特殊配置。 修复方案 修复版本: Hex 包 (server):升级至 或更高版本。 Git 源 (git):升级至 commit 或更高版本。 POC 代码 (注:页面未提供具体的 POC 代码,仅提供了利用原理描述)* > 攻击者构造一个包含约 60,000 个片段的 GraphQL 查询文档(每个片段约 16 字节,总大小约 1MB),触发 中的 $O(N^2)$ 复杂度计算,导致服务器资源耗尽。