CVE-2026-34976 in dgraphinformazioni

Riassunto

di VulDB • 17/06/2026

Dgraph è un database GraphQL distribuito open source. Prima della versione 25.3.1, la mutation admin restoreTenant è assente dalla configurazione del middleware di autorizzazione (admin.go), risultando completamente non autenticata. A differenza della mutation restore simile, che richiede l'autenticazione Guardian-of-Galaxy, restoreTenant viene eseguita senza alcun middleware. Questa mutation accetta URL di origine del backup controllati dall'attaccante (incluso file:// per l'accesso al filesystem locale), credenziali S3/MinIO, percorsi dei file delle chiavi di crittografia e percorsi dei file delle credenziali Vault. Un attaccante non autenticato può sovrascrivere l'intero database, leggere file lato server ed eseguire SSRF. Questa vulnerabilità è risolta nella versione 25.3.1.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsabile

GitHub M

Prenotare

31/03/2026

Divulgazione

06/04/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00452

KEV

no

Attività

molto basso

Fonti

Do you know our Splunk app?

Download it now for free!