CRITICAL🇬🇧 English

CVE-2026-41492

Dgraph: ujawnienie tokenu admina przez endpoint /debug/vars bez uwierzytelnienia

CVSS 9.8v3.1pub. 2026-04-24upd. 2026-04-28

Dgraph w wersjach przed 25.3.3 ujawnia pełną linię poleceń procesu przez niechroniony endpoint /debug/vars, co umożliwia nieuwierzytelnionemu atakującemu odczytanie tokenu administracyjnego i uzyskanie pełnego dostępu do funkcji administracyjnych. Podatność jest wariantem wcześniej częściowo naprawionego problemu z /debug/pprof/cmdline.

Pokaż oryginał (EN)

Dgraph is an open source distributed GraphQL database. Prior to 25.3.3, Dgraphl exposes the process command line through the unauthenticated /debug/vars endpoint on Alpha. Because the admin token is commonly supplied via the --security "token=..." startup flag, an unauthenticated attacker can retrieve that token and replay it in the X-Dgraph-AuthToken header to access admin-only endpoints. This is a variant of the previously fixed /debug/pprof/cmdline issue, but the current fix is incomplete because it blocks only /debug/pprof/cmdline and still serves http.DefaultServeMux, which includes expvar's /debug/vars handler. This vulnerability is fixed in 25.3.3.

🤖 Analiza AI
Jak działa

Dgraph Alpha udostępnia endpoint /debug/vars bez żadnego uwierzytelnienia, który jest obsługiwany przez standardowy mechanizm http.DefaultServeMux biblioteki Go (expvar). Ponieważ token administracyjny jest typowo przekazywany przy starcie aplikacji jako argument wiersza poleceń (--security "token=..."), jego wartość jest widoczna w danych eksponowanych przez ten endpoint. Atakujący może odczytać token z odpowiedzi HTTP, a następnie użyć go w nagłówku X-Dgraph-AuthToken, aby uzyskać dostęp do endpointów zarezerwowanych wyłącznie dla administratorów. Poprzednia poprawka blokowała jedynie ścieżkę /debug/pprof/cmdline, pozostawiając /debug/vars bez zabezpieczenia.

Skutki

Nieuwierzytelniony atakujący zdalnie może przejąć pełne uprawnienia administracyjne do instancji Dgraph, co prowadzi do naruszenia poufności, integralności i dostępności danych przechowywanych w bazie.

Mitygacja

Należy zaktualizować Dgraph do wersji 25.3.3, w której podatność została naprawiona. Patch dostępny jest w repozytorium GitHub pod adresem: https://github.com/dgraph-io/dgraph/releases/tag/v25.3.3. Tymczasowo, do czasu aktualizacji, należy rozważyć zablokowanie dostępu sieciowego do endpointu /debug/vars na poziomie firewall lub proxy.

Kogo dotyczy

Dgraph (open source distributed GraphQL database) we wszystkich wersjach przed 25.3.3

Uwagi

Podatność jest wariantem wcześniej zgłoszonego i częściowo naprawionego problemu z /debug/pprof/cmdline — poprzednia poprawka okazała się niekompletna, ponieważ nie obejmowała handlera expvar serwowanego przez http.DefaultServeMux.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Dgraph

    APP
    Dgraph
    < 25.3.3
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2026-41327CRITICAL9.1PL ✓ten sam produkt

Dgraph — wstrzyknięcie zapytania DQL umożliwia nieautoryzowany odczyt danych

CVE-2026-41328CRITICAL9.1PL ✓ten sam produkt

DQL injection w Dgraph — nieuwierzytelniony pełny odczyt bazy danych

CVE-2026-40173CRITICAL9.4PL ✓ten sam produkt

Dgraph: ujawnienie tokenu admina przez niezabezpieczony endpoint /debug/pprof/cmdline

CVE-2026-34976CRITICAL10.0PL ✓ten sam produkt

Dgraph: nieuwierzytelniony dostęp do mutacji restoreTenant (SSRF, RCE danych)

CVE-2023-31135LOW3.3ten sam produkt

Dgraph is an open source distributed GraphQL database. Existing Dgraph audit logs are vulnerable to brute forc...