漏洞总结:EEF-CVE-2026-42793 漏洞概述 漏洞名称:EEF-CVE-2026-42793 CVSS 评分:8.2 (High) 漏洞类型:资源分配无限制或节流(Allocation of Resources Without Limits or Throttling) 影响组件: 和 漏洞描述: - 在解析攻击者控制的 GraphQL SDL 时, 和 允许未认证的拒绝服务攻击。 - 多个 实现中, 的 SDL 语言模块调用 处理攻击者控制的名称(包括指令名称、字段名称、类型名称和参数名称)。 - 由于 Erlang 中的 atoms 不会被垃圾回收,且 BEAM atom 表有固定上限(默认 1,048,576),每个唯一名称会永久占用一个槽位。 - 攻击者可通过提交包含足够多唯一名称的 SDL 文档耗尽 atom 表,导致 Erlang VM 因 中止并崩溃整个节点。 - 任何通过 解析器传递攻击者控制的 GraphQL SDL 的应用程序均受影响,例如 schema 上传端点、摄取远程 SDL 的联邦网关或运行解析器的开发者工具。 影响范围 受影响版本: 从 1.5.0 到 1.10.2(不含 1.10.2) 受影响包: - Hex: - GitHub: 修复方案 修复版本:1.10.2 事件类型: - Introduced: 1.5.0 - Fixed: 1.10.2 数据库特定信息 CAPEC IDs: CAPEC-130 CWE IDs: CWE-770 CPE IDs: 参考链接 GitHub Advisory CNA Entry Hex Package Credits 发现者:Peter Ullrich - FINDER 修复者:Curtis Schiewek - REMEDIATION_DEVELOPER