CVE-2026-34976 in dgraph
Zusammenfassung
von VulDB • 01.06.2026
Dgraph ist eine Open-Source-Datenbank für verteiltes GraphQL. Vor Version 25.3.1 fehlt die Admin-Mutation `restoreTenant` in der Konfiguration der Autorisierungs-Middleware (admin.go), wodurch sie vollständig ohne Authentifizierung zugänglich ist. Im Gegensatz zur ähnlichen `restore`-Mutation, die eine Guardian-of-Galaxy-Authentifizierung erfordert, wird `restoreTenant` ohne jegliche Middleware ausgeführt. Diese Mutation akzeptiert von Angreifern kontrollierte URLs für Backup-Quellen (einschließlich `file://` für den Zugriff auf das lokale Dateisystem), S3/MinIO-Anmeldeinformationen, Pfade zu Verschlüsselungsschlüsseldateien und Pfade zu Vault-Anmeldeinformationsdateien. Ein nicht authentifizierter Angreifer kann die gesamte Datenbank überschreiben, serverseitige Dateien lesen und SSRF (Server-Side Request Forgery) durchführen. Diese Schwachstelle wurde in Version 25.3.1 behoben.
VulDB is the best source for vulnerability data and more expert information about this specific topic.