CVE-2026-40173 in dgraphinfo

Zusammenfassung

von VulDB • 10.05.2026

Dgraph ist eine Open-Source-Datenbank für verteilte GraphQL-Daten. Die Versionen 25.3.1 und älter enthalten eine Schwachstelle zur unbefugten Offenlegung von Anmeldeinformationen, bei der der Endpunkt /debug/pprof/cmdline im Standard-Mux registriert und ohne Authentifizierung erreichbar ist, wodurch die vollständige Befehlszeile des Prozesses einschließlich des über den Startparameter --security "token=..." konfigurierten Admin-Tokens offengelegt wird. Ein Angreifer kann das geleakte Token abrufen und es im Header X-Dgraph-AuthToken wiederverwenden, um unbefugten Zugriff auf nur für Administratoren verfügbare Endpunkte wie /admin/config/cache_mb zu erlangen und dabei die Token-Validierung durch adminAuthHandler zu umgehen. Dies ermöglicht unbefugten privilegierten administrativen Zugriff, einschließlich Konfigurationsänderungen und operativen Steuerungsbefehlen, in jeder Bereitstellung, in der der Alpha-HTTP-Port für nicht vertrauenswürdige Parteien erreichbar ist. Dieses Problem wurde in Version 25.3.2 behoben.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

09.04.2026

Veröffentlichung

16.04.2026

Moderieren

akzeptiert

Eintrag

VDB-357829

CPE

bereit

EPSS

0.00084

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-40173
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-40173
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-40173/

ZurückÜbersichtWeiter

Want to stay up to date on a daily basis?

Enable the mail alert feature now!