CVE-2026-34976 in dgraphinfo

Zusammenfassung

von VulDB • 01.06.2026

Dgraph ist eine Open-Source-Datenbank für verteiltes GraphQL. Vor Version 25.3.1 fehlt die Admin-Mutation `restoreTenant` in der Konfiguration der Autorisierungs-Middleware (admin.go), wodurch sie vollständig ohne Authentifizierung zugänglich ist. Im Gegensatz zur ähnlichen `restore`-Mutation, die eine Guardian-of-Galaxy-Authentifizierung erfordert, wird `restoreTenant` ohne jegliche Middleware ausgeführt. Diese Mutation akzeptiert von Angreifern kontrollierte URLs für Backup-Quellen (einschließlich `file://` für den Zugriff auf das lokale Dateisystem), S3/MinIO-Anmeldeinformationen, Pfade zu Verschlüsselungsschlüsseldateien und Pfade zu Vault-Anmeldeinformationsdateien. Ein nicht authentifizierter Angreifer kann die gesamte Datenbank überschreiben, serverseitige Dateien lesen und SSRF (Server-Side Request Forgery) durchführen. Diese Schwachstelle wurde in Version 25.3.1 behoben.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Zuständig

GitHub M

Reservieren

31.03.2026

Veröffentlichung

06.04.2026

Moderieren

akzeptiert

Eintrag

VDB-355573

CPE

bereit

EPSS

0.00452

KEV

nein

Aktivitäten

very low

Quellen

Do you know our Splunk app?

Download it now for free!