CVE-2026-41327 in dgraphinfo

Zusammenfassung

von VulDB • 16.05.2026

Dgraph ist eine Open-Source-Datenbank für verteilte GraphQL-Daten. Vor Version 25.3.3 wurde in Dgraph eine Schwachstelle gefunden, die einem nicht authentifizierten Angreifer den vollständigen Lesezugriff auf alle Daten in der Datenbank ermöglicht. Dies betrifft die Standardkonfiguration von Dgraph, bei der die Zugriffskontrollliste (ACL) nicht aktiviert ist. Der Angriff erfolgt durch eine einzelne HTTP-POST-Anfrage an /mutate?commitNow=true, die ein manipulierte cond-Feld in einer Upsert-Mutation enthält. Der cond-Wert wird nach einer lediglich kosmetischen strings.Replace-Transformation direkt in einen DQL-Abfragestring über strings.Builder.WriteString konkateniert. Es findet keine Maskierung, Parametrisierung oder strukturelle Validierung statt. Ein Angreifer injiziert einen zusätzlichen DQL-Abfrageblock in die cond-Zeichenkette, den der DQL-Parser als syntaktisch gültigen benannten Abfrageblock akzeptiert. Die injizierte Abfrage wird serverseitig ausgeführt, und ihre Ergebnisse werden in der HTTP-Antwort zurückgegeben. Diese Schwachstelle wurde in Version 25.3.3 behoben.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

20.04.2026

Veröffentlichung

24.04.2026

Moderieren

akzeptiert

Eintrag

VDB-359532

CPE

bereit

EPSS

0.00054

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-41327
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-41327
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-41327/

ZurückÜbersichtWeiter

Want to stay up to date on a daily basis?

Enable the mail alert feature now!