CVE-2026-34976 in dgraphinformación

Resumen

por VulDB • 2026-06-05

Dgraph es una base de datos GraphQL distribuida y de código abierto. Antes de la versión 25.3.1, la mutación administrativa restoreTenant no estaba incluida en la configuración del middleware de autorización (admin.go), lo que hacía que estuviera completamente sin autenticar. A diferencia de la mutación similar restore, que requiere una autenticación basada en Guardian-of-Galaxy, restoreTenant se ejecuta con cero middlewares. Esta mutación acepta URLs de origen de copia de seguridad controladas por el atacante (incluyendo file:// para acceder al sistema de archivos local), credenciales S3/MinIO, rutas a archivos de claves de cifrado y rutas a archivos de credenciales de Vault. Un atacante no autenticado puede sobrescribir toda la base de datos, leer archivos del lado del servidor y realizar SSRF. Esta vulnerabilidad está corregida en la versión 25.3.1.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

GitHub M

Reservar

2026-03-31

Divulgación

2026-04-06

Moderación

aceptado

Artículo

VDB-355573

CPE

listo

EPSS

0.00452

KEV

no

Actividades

muy bajo

Fuentes

Interested in the pricing of exploits?

See the underground prices here!