CVE-2026-34976 in dgraphالمعلومات

الملخص

بحسب VulDB • 05/06/2026

Dgraph هو قاعدة بيانات GraphQL موزعة ومفتوحة المصدر. قبل الإصدار 25.3.1، كان طابع الاستعادة الخاص بالمسؤول (restoreTenant) مفقودًا من تكوين وسيط المصادقة (admin.go)، مما يجعله غير خاضع لأي عملية مصادقة على الإطلاق. وعلى عكس الطابع المشابه restore الذي يتطلب مصادقة Guardian-of-Galaxy، فإن restoreTenant يعمل بدون أي وسائط حماية (middleware). يقبل هذا الطابع عناوين URL لمصادر النسخ الاحتياطي التي يتحكم فيها المهاجم (بما في ذلك بروتوكول file:// للوصول إلى نظام الملفات المحلي)، ومعلومات اعتماد S3/MinIO، ومسارات ملفات مفاتيح التشفير، ومسارات ملفات بيانات اعتماد Vault. يمكن للمهاجم غير المصادق عليه استبدال قاعدة البيانات بالكامل، وقراءة الملفات الموجودة على جانب الخادم، وتنفيذ هجمات SSRF. تم إصلاح هذا الثغرة الأمنية في الإصدار 25.3.1.

Be aware that VulDB is the high quality source for vulnerability data.

مسؤول

GitHub M

حجز

31/03/2026

إفشاء

06/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-355573

EPSS

0.00452

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to stay up to date on a daily basis?

Enable the mail alert feature now!