🟠 Alto | Segurança | API/GraphQL
Problema
GET /graphql/playground e GET /graphql retornam o Playground interativo. Qualquer um pode executar queries arbitrárias.
Impacto
Ferramenta de desenvolvimento exposta em produção. Atacante pode explorar schema GraphQL, fazer queries profundas, enumerar dados.
Evidência
src/api/mod.rs:491-493: playground registrado sem verificação de ambiente.
Recomendação
Desabilitar playground quando env!("PROFILE") != "debug" ou via config graphql_playground_enabled: bool.
Validação
GET /graphql/playground em modo release → deve retornar 404.
Prioridade: Alta
🟠 Alto | Segurança | API/GraphQL
Problema
GET /graphql/playgroundeGET /graphqlretornam o Playground interativo. Qualquer um pode executar queries arbitrárias.Impacto
Ferramenta de desenvolvimento exposta em produção. Atacante pode explorar schema GraphQL, fazer queries profundas, enumerar dados.
Evidência
src/api/mod.rs:491-493: playground registrado sem verificação de ambiente.Recomendação
Desabilitar playground quando
env!("PROFILE") != "debug"ou via configgraphql_playground_enabled: bool.Validação
GET /graphql/playgroundem modo release → deve retornar 404.Prioridade: Alta